Dell Unity: Unispheren itse allekirjoitettujen SSL-varmenteiden korvaaminen paikallisen varmenteiden myöntäjän allekirjoittamilla varmenteilla. (käyttäjän korjattavissa)

1. Yksityisen avaimen luominen Unityssa

Luo RSA-yksityinen avain 2048-bittisellä komennolla seuraavasti. -out-vaihtoehto määrittää yksityisen avaimesi tiedostonimen.

service@unknown spa:~/user# openssl genrsa -out unitycert.pk 2048
Generating RSA private key, 2048 bit long modulus
............................+++
.........................................................................................+++
e is 65537 (0x10001)

2. Pyydä CSR:ää Unityssa

Luo CSR yksityisellä avaimella. pikanäppäimellä -new vaihtoehto osoittaa uuden pyynnön, -key määrittää yksityisen avaimen tiedoston ja -out määrittää CSR-tiedostonimen.

service@unknown spa:~/user# openssl req -new -key unitycert.pk -out unitycert.csr \
-subj '/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com' \
-reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:name.example.com,IP:192.0.2.1"))

"/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com" and "DNS:name.example.com" are examples and must be changed per your environment (further details below). 
The IP option and IP Address for the SAN value is also optional and can be omitted.

The variables in the -subj field stand for:
C   = Country Code
ST = State or Province
L    = City or Locality
O = Organization
CN = Common Name (The FQDN you want to secure in this case the Unity)
SAN = Subject Alternative Name (IP and DNS for the entity you want to secure in this case the Unity)

3. Hanki CSR:n allekirjoitus Windows CA-palvelimella, OpenSSL CA -palvelimella tai toisella CA-palvelimella.

Toimita CSR CA-palvelimelle alla olevan menetelmän 1 tai menetelmän 2 mukaisesti:  
 

• Tapa 1: Tulosta CSR käyttämällä 'cat' komento, kopioi ja liitä se paikalliseen muistilehtiöön ja tallenna se nimellä: unitycert.csr.

service@unknown spa:~/user# cat unitycert.csr
-----BEGIN CERTIFICATE REQUEST-----
MIICljCCAX4CAQAwUTELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAk1BMREwDwYDVQQH
DAhTYXJhc290YTEPMA0GA1UECgwGTXlDdXN0MREwDwYDVQQDDAgxMC4wLjAuMTCC
ASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAOBxqufN1Vpm0hq5K5UU0ocd
teL2hJr5T1WIOmwQreX4nIdHIxVoWmyepmT7IZJIrQZQc8GuFDRx5qZ/cwlxoup7
<..snip..>
lJc/79vxTfrWWNnSF95C+wer2LB93VLov8MSQqPZfl0LPb4NRU/XaE4l9Vh5DYl4
/FmwHXsifwV5f1TUkvhC8YTwn5frWQjruz+ItZ3z9DetQX0OXYXMcaPX5Qp6aU5m
dsXFHDDiaVbOofJN9z6OPOsWUhn0ZwEpnW8q/+V72MdBIfiwEjoQqZZKh4w1l0/7
uElP8BfS7vH/i87OCqHJM0g/O3IndF+p5wYzmhrDPg/f3belQVQvKs7Z
-----END CERTIFICATE REQUEST-----

• Tapa 2: Lataa CSR SCP: ltä.

Yhdistä Unity-hallinnan IP-osoitteeseen kolmannen osapuolen työkalulla, kuten FileZillalla tai WinSCP:llä (käyttäjänimi: Palvelu). Protokolla on muutettava SCP: ksi.

4. Kun varmenne on vastaanotettu CA-palvelimesta, lataa se Unityyn ja tallenna sen nimi muodossa unitycert.crt (vastaa sanaa unitycert.pk). Unityssa on nyt kaksi tiedostoa: unitycert.crt ja unitycert.pk.

5. Korosta svc_custom_cert Varmenteen asennuskomento:     

service@unknown spa:~/user# svc_custom_cert unitycert
Successfully installed custom certificate files.
Restarting web server ...
Sun May 22 05:37:48 2016:7645\0x7f44ba3e27c0:32:Module CIC/1.1.10.6 loaded

Huomautus: Kun vaihe 5 on onnistunut, poista unitycert.crt, unitycert.pk ja unitycert.csr Unity-levyjärjestelmästä. Muutoin ne voivat aiheuttaa tietoturvaongelmia, jos tallennat ne kansioon /cores/service/user.

Huomautus: Virhe voi ilmetä, kun uutta varmennetta yritetään asentaa:  

service@SPB spb:~/user# svc_custom_cert unitycert
ERROR: Certificate </tmp/cert.MIbZ4L/unitycert.crt> is invalid

Varmenteen on oltava base64-koodattu ennen sen asentamista. Se voidaan muuntaa Windows-työkalulla "certutil":

Certutil -v -encode unitycert.crt unity64cert.crt Input Length = 1520 Output Length = 2148
CertUtil: -encode command completed successfully.

Sen voi myös muuntaa Unity-järjestelmässä OpenSSL-komennolla:

openssl x509 -in <certificate file> -inform DER -outform PEM -out unitycert.crt

Kun se on muunnettu, asenna se yllä olevien ohjeiden mukaisesti. Katso tietämyskannan artikkeli 19728: Dell EMC Unity: Paikallisen varmenteiden myöntäjän allekirjoittaman SSL-varmenteen (käyttäjän korjattavissa) tuominen saadaksesi lisätietoja.

Jos varmenne on jo PEM-muodossa, mutta laajennus on .cer, voit suorittaa:

openssl x509 -inform PEM -in <certificate file> -outform PEM -out unitycert.crt

Tämä toimii yleismerkkivarmenteiden

kanssa Genesis 64 -peruskoodatun varmenneosan lisäksi pkcs7-koodattuja varmenteita tai lisäsisältöä sisältävien varmennetiedostojen lataaminen voi joskus aiheuttaa palveluntarjoajan panic-virheitä ja muita ongelmia. Tässä tapauksessa varmenne voidaan leikata vain "Base 64 encoded certificate" -osaan.