Dell Unity: Cómo reemplazar los certificados SSL autofirmados de Unisphere por certificados firmados de una autoridad de certificación local. (Corregible por el usuario)

1. Generar una clave privada en Unity

Utilice el siguiente comando para generar una clave privada de RSA con una longitud de 2048 bits. La opción -out especifica el nombre de archivo para su clave privada.

service@unknown spa:~/user# openssl genrsa -out unitycert.pk 2048
Generating RSA private key, 2048 bit long modulus
............................+++
.........................................................................................+++
e is 65537 (0x10001)

2. Solicitar CSR en Unity

Utilice la clave privada para crear la CSR. La variable -new indica una nueva solicitud, -key Especifica el archivo de clave privada y -out define el nombre del archivo CSR.

service@unknown spa:~/user# openssl req -new -key unitycert.pk -out unitycert.csr \
-subj '/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com' \
-reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:name.example.com,IP:192.0.2.1"))

"/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com" and "DNS:name.example.com" are examples and must be changed per your environment (further details below). 
The IP option and IP Address for the SAN value is also optional and can be omitted.

The variables in the -subj field stand for:
C   = Country Code
ST = State or Province
L    = City or Locality
O = Organization
CN = Common Name (The FQDN you want to secure in this case the Unity)
SAN = Subject Alternative Name (IP and DNS for the entity you want to secure in this case the Unity)

3. Obtenga la CSR firmada por el servidor de CA de Windows, el servidor de CA OpenSSL u otro servidor de CA.

Entregue CSR a un servidor de CA mediante el método 1 o el método 2 que se indica a continuación:  
 

• Método 1: Imprimir CSR usando 'cat' , cópielo, péguelo en el bloc de notas local y guárdelo como: unitycert.csr.

service@unknown spa:~/user# cat unitycert.csr
-----BEGIN CERTIFICATE REQUEST-----
MIICljCCAX4CAQAwUTELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAk1BMREwDwYDVQQH
DAhTYXJhc290YTEPMA0GA1UECgwGTXlDdXN0MREwDwYDVQQDDAgxMC4wLjAuMTCC
ASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAOBxqufN1Vpm0hq5K5UU0ocd
teL2hJr5T1WIOmwQreX4nIdHIxVoWmyepmT7IZJIrQZQc8GuFDRx5qZ/cwlxoup7
<..snip..>
lJc/79vxTfrWWNnSF95C+wer2LB93VLov8MSQqPZfl0LPb4NRU/XaE4l9Vh5DYl4
/FmwHXsifwV5f1TUkvhC8YTwn5frWQjruz+ItZ3z9DetQX0OXYXMcaPX5Qp6aU5m
dsXFHDDiaVbOofJN9z6OPOsWUhn0ZwEpnW8q/+V72MdBIfiwEjoQqZZKh4w1l0/7
uElP8BfS7vH/i87OCqHJM0g/O3IndF+p5wYzmhrDPg/f3belQVQvKs7Z
-----END CERTIFICATE REQUEST-----

• Método 2: Descargar CSR por SCP.

Utilice una herramienta de otros fabricantes, como FileZilla o WinSCP, para conectarse a la IP de administración de Unity (nombre de usuario: Servicio). El protocolo se debe cambiar a SCP.

4. Después de recibir el certificado firmado desde el servidor de CA, cárguelo en Unity y guarde su nombre como unitycert.crt (correspondiente a unitycert.pk). Ahora habrá dos archivos en Unity: unitycert.crt y unitycert.pk.

5. Use el comando svc_custom_cert comando para instalar el certificado:     

service@unknown spa:~/user# svc_custom_cert unitycert
Successfully installed custom certificate files.
Restarting web server ...
Sun May 22 05:37:48 2016:7645\0x7f44ba3e27c0:32:Module CIC/1.1.10.6 loaded

Nota: Una vez que el paso 5 se realice correctamente, elimine Unitycert.crt, unitycert.pk y unitycert.csr desde el arreglo Unity. De lo contrario, pueden causar un problema de vulnerabilidad de seguridad si los guarda en /cores/service/user.

Nota: Puede producirse un error al intentar instalar el nuevo certificado:  

service@SPB spb:~/user# svc_custom_cert unitycert
ERROR: Certificate </tmp/cert.MIbZ4L/unitycert.crt> is invalid

El certificado debe estar codificado en base64 antes de instalarlo. Se puede convertir utilizando la herramienta de Windows "certutil":

Certutil -v -encode unitycert.crt unity64cert.crt Input Length = 1520 Output Length = 2148
CertUtil: -encode command completed successfully.

O bien, se puede convertir en el sistema Unity con el comando OpenSSL:

openssl x509 -in <certificate file> -inform DER -outform PEM -out unitycert.crt

Una vez convertido, instálelo siguiendo las instrucciones anteriores. Consulte KB 19728: Dell EMC Unity: Cómo importar un certificado SSL firmado por una autoridad de certificación local (corregible por el usuario) para obtener más detalles.

En caso de que el certificado ya esté en formato PEM, pero la extensión esté .cer, puede ejecutar:

openssl x509 -inform PEM -in <certificate file> -outform PEM -out unitycert.crt

Esto funciona con certificados comodín: la carga de

archivos de certificado que contienen certificados codificados con pkcs7 o contenido adicional, además de la parte del certificado codificado de base 64, a veces puede causar estados de alarma de SP y otros problemas. En este caso, el certificado se puede reducir solo a la parte "Certificado codificado de base 64".