Dell Unity : Comment remplacer des certificats SSL auto-signés Unisphere par des certificats signés provenant d’une autorité de certification locale. (Corrigible par l’utilisateur)

1. Génération d’une clé privée sur Unity

Utilisez la commande suivante pour générer une clé privée RSA d’une longueur de 2 048 bits. L’option -out spécifie le nom de fichier de votre clé privée.

service@unknown spa:~/user# openssl genrsa -out unitycert.pk 2048
Generating RSA private key, 2048 bit long modulus
............................+++
.........................................................................................+++
e is 65537 (0x10001)

2. Demander une CSR sur Unity

Utilisez la clé privée pour créer la CSR. La commande -new indique une nouvelle demande, -key spécifie le fichier de la clé privée, et -out définit le nom de fichier CSR.

service@unknown spa:~/user# openssl req -new -key unitycert.pk -out unitycert.csr \
-subj '/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com' \
-reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:name.example.com,IP:192.0.2.1"))

"/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com" and "DNS:name.example.com" are examples and must be changed per your environment (further details below). 
The IP option and IP Address for the SAN value is also optional and can be omitted.

The variables in the -subj field stand for:
C   = Country Code
ST = State or Province
L    = City or Locality
O = Organization
CN = Common Name (The FQDN you want to secure in this case the Unity)
SAN = Subject Alternative Name (IP and DNS for the entity you want to secure in this case the Unity)

3. Obtenez la CSR signée par Windows CA Server ou OpenSSL CA Server ou un autre serveur CA.

Fournissez la CSR à un serveur CA à l’aide de la méthode 1 ou 2 ci-dessous :  
 

• Méthode 1 : Imprimez la CSR à l’aide de la commande 'cat, copiez-le et collez-le sur votre bloc-notes local et enregistrez-le sous: unitycert.csr.

service@unknown spa:~/user# cat unitycert.csr
-----BEGIN CERTIFICATE REQUEST-----
MIICljCCAX4CAQAwUTELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAk1BMREwDwYDVQQH
DAhTYXJhc290YTEPMA0GA1UECgwGTXlDdXN0MREwDwYDVQQDDAgxMC4wLjAuMTCC
ASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAOBxqufN1Vpm0hq5K5UU0ocd
teL2hJr5T1WIOmwQreX4nIdHIxVoWmyepmT7IZJIrQZQc8GuFDRx5qZ/cwlxoup7
<..snip..>
lJc/79vxTfrWWNnSF95C+wer2LB93VLov8MSQqPZfl0LPb4NRU/XaE4l9Vh5DYl4
/FmwHXsifwV5f1TUkvhC8YTwn5frWQjruz+ItZ3z9DetQX0OXYXMcaPX5Qp6aU5m
dsXFHDDiaVbOofJN9z6OPOsWUhn0ZwEpnW8q/+V72MdBIfiwEjoQqZZKh4w1l0/7
uElP8BfS7vH/i87OCqHJM0g/O3IndF+p5wYzmhrDPg/f3belQVQvKs7Z
-----END CERTIFICATE REQUEST-----

• Méthode 2 : Télécharger le fichier CSR par SCP.

Utilisez un outil tiers, tel que FileZilla ou WinSCP, pour vous connecter à l’adresse IP de gestion Unity (nom d’utilisateur : Service après-vente). Le protocole doit être remplacé par SCP.

4. Une fois le certificat signé reçu du serveur de l’autorité de certification, téléchargez-le dans Unity et enregistrez son nom sous unitycert.crt (correspondant à unitycert.pk). Il y aura désormais deux fichiers sur Unity : unitycert.crt et unitycert.pk.

5. Utilisez la commande svc_custom_cert Commande pour installer le certificat :     

service@unknown spa:~/user# svc_custom_cert unitycert
Successfully installed custom certificate files.
Restarting web server ...
Sun May 22 05:37:48 2016:7645\0x7f44ba3e27c0:32:Module CIC/1.1.10.6 loaded

Remarque : Une fois l’étape 5 réussie, supprimez unitycert.crt, unitycert.pk et unitycert.csr à partir de la baie Unity. Sinon, ceux-ci peuvent causer un problème de faille de sécurité si vous les enregistrez dans /cores/service/user.

Remarque : Une erreur peut se produire lors de la tentative d’installation du nouveau certificat :  

service@SPB spb:~/user# svc_custom_cert unitycert
ERROR: Certificate </tmp/cert.MIbZ4L/unitycert.crt> is invalid

Le certificat doit être codé en base64 avant de l’installer. Il peut être converti à l’aide de l’outil Windows « certutil » :

Certutil -v -encode unitycert.crt unity64cert.crt Input Length = 1520 Output Length = 2148
CertUtil: -encode command completed successfully.

Vous pouvez également la convertir sur le système Unity à l’aide de la commande OpenSSL :

openssl x509 -in <certificate file> -inform DER -outform PEM -out unitycert.crt

Une fois converti, installez-le en suivant les instructions ci-dessus. Consultez l’article de la base de connaissances 19728 : Dell EMC Unity : Comment importer un certificat SSL qui a été signé par une autorité de certification locale (corrigible par l’utilisateur) pour plus d’informations.

Si le certificat est déjà au format PEM, mais que l’extension est .cer, vous pouvez exécuter :

openssl x509 -inform PEM -in <certificate file> -outform PEM -out unitycert.crt

Cela fonctionne avec les certificats génériques

: le téléchargement de fichiers de certificat contenant des certificats codés pkcs7 ou du contenu supplémentaire en plus de la partie de certificat codé en base 64 peut parfois entraîner un fonctionnement inattendu du SP et d’autres problèmes. Dans ce cas, le certificat peut être réduit à la partie « Certificat codé en base 64 ».