Dell Unity: Come sostituire i certificati SSL autofirmati Unisphere con i certificati firmati da una CA locale. (correggibile dall'utente) (in inglese)

1. Generare una chiave privata su Unity

Utilizzare il seguente comando per generare una chiave privata RSA con una lunghezza di 2048 bit. L'opzione -out specifica il nome del file per la chiave privata.

service@unknown spa:~/user# openssl genrsa -out unitycert.pk 2048
Generating RSA private key, 2048 bit long modulus
............................+++
.........................................................................................+++
e is 65537 (0x10001)

2. Richiesta CSR su Unity

Utilizzare la chiave privata per creare la CSR. La colonna -new l'opzione indica una nuova richiesta, -key Specifica il file della chiave privata e -out definisce il nome del file CSR.

service@unknown spa:~/user# openssl req -new -key unitycert.pk -out unitycert.csr \
-subj '/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com' \
-reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:name.example.com,IP:192.0.2.1"))

"/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com" and "DNS:name.example.com" are examples and must be changed per your environment (further details below). 
The IP option and IP Address for the SAN value is also optional and can be omitted.

The variables in the -subj field stand for:
C   = Country Code
ST = State or Province
L    = City or Locality
O = Organization
CN = Common Name (The FQDN you want to secure in this case the Unity)
SAN = Subject Alternative Name (IP and DNS for the entity you want to secure in this case the Unity)

3. Ottenere la CSR firmata dal server CA di Windows o dal server CA OpenSSL o da un altro server CA.

Fornire la CSR a un server CA utilizzando il metodo 1 o il metodo 2 riportato di seguito:  
 

• Metodo 1. Stampare CSR utilizzando 'cat', copialo e incollalo nel tuo Blocco note locale e salvalo come: unitycert.csr.

service@unknown spa:~/user# cat unitycert.csr
-----BEGIN CERTIFICATE REQUEST-----
MIICljCCAX4CAQAwUTELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAk1BMREwDwYDVQQH
DAhTYXJhc290YTEPMA0GA1UECgwGTXlDdXN0MREwDwYDVQQDDAgxMC4wLjAuMTCC
ASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAOBxqufN1Vpm0hq5K5UU0ocd
teL2hJr5T1WIOmwQreX4nIdHIxVoWmyepmT7IZJIrQZQc8GuFDRx5qZ/cwlxoup7
<..snip..>
lJc/79vxTfrWWNnSF95C+wer2LB93VLov8MSQqPZfl0LPb4NRU/XaE4l9Vh5DYl4
/FmwHXsifwV5f1TUkvhC8YTwn5frWQjruz+ItZ3z9DetQX0OXYXMcaPX5Qp6aU5m
dsXFHDDiaVbOofJN9z6OPOsWUhn0ZwEpnW8q/+V72MdBIfiwEjoQqZZKh4w1l0/7
uElP8BfS7vH/i87OCqHJM0g/O3IndF+p5wYzmhrDPg/f3belQVQvKs7Z
-----END CERTIFICATE REQUEST-----

• Metodo 2. Scaricare CSR by SCP.

Utilizzare uno strumento di terze parti, come FileZilla o WinSCP, per connettersi all'IP di gestione di Unity (nome utente: Servizio). Il protocollo deve essere modificato in SCP.

4. Dopo aver ricevuto il certificato firmato dal server CA, caricarlo in Unity e salvarne il nome come unitycert.crt (corrispondente a unitycert.pk). Sono ora presenti due file in Unity: unitycert.crt e unitycert.pk.

5. Utilizzare il comando svc_custom_cert Comando per installare il certificato:     

service@unknown spa:~/user# svc_custom_cert unitycert
Successfully installed custom certificate files.
Restarting web server ...
Sun May 22 05:37:48 2016:7645\0x7f44ba3e27c0:32:Module CIC/1.1.10.6 loaded

Nota: Al termine del passaggio 5, eliminare unitycert.crt, unitycert.pk e unitycert.csr dall'array Unity. In caso contrario, questi potrebbero causare un problema di vulnerabilità di sicurezza se vengono salvati in /cores/service/user.

Nota: È possibile che si verifichi un errore quando si tenta di installare il nuovo certificato:  

service@SPB spb:~/user# svc_custom_cert unitycert
ERROR: Certificate </tmp/cert.MIbZ4L/unitycert.crt> is invalid

Il certificato deve essere codificato base64 prima dell'installazione. Può essere convertito utilizzando lo strumento di Windows "certutil":

Certutil -v -encode unitycert.crt unity64cert.crt Input Length = 1520 Output Length = 2148
CertUtil: -encode command completed successfully.

In alternativa, può essere convertito sul sistema Unity con il comando OpenSSL:

openssl x509 -in <certificate file> -inform DER -outform PEM -out unitycert.crt

Una volta convertito, installarlo seguendo le istruzioni riportate sopra. Vedere 19728 della KB: Dell EMC Unity: Per ulteriori dettagli, importare un certificato SSL firmato da una CA locale (correggibile dall'utente).

Nel caso in cui il certificato sia già in formato PEM ma l'estensione sia .cer, è possibile eseguire:

openssl x509 -inform PEM -in <certificate file> -outform PEM -out unitycert.crt

Funziona con i certificati

con caratteri jolly: il caricamento di file di certificato contenenti certificati con codifica pkcs7 o contenuto aggiuntivo oltre alla parte del certificato con codifica Base 64 può talvolta causare errori irreversibili nell'SP e altri problemi. In questo caso, il certificato può essere ridotto solo alla parte "Certificato con codifica Base 64".