Dell Unity：Unisphere自己署名SSL証明書をローカル認証局の署名付き証明書に置き換える方法（ユーザー修正可能）（英語）」

1. Unityで秘密キーを生成する

次のコマンドを使用して、2048ビット長のRSAプライベート キーを生成します。outオプションは、秘密鍵のファイル名を指定します。

service@unknown spa:~/user# openssl genrsa -out unitycert.pk 2048
Generating RSA private key, 2048 bit long modulus
............................+++
.........................................................................................+++
e is 65537 (0x10001)

2. UnityでのCSRのリクエスト

プライベート キーを使用してCSRを作成します。「 -new オプションは新しい要求を示し、 -key 秘密鍵ファイルを指定し、 -out CSRファイル名を定義します。

service@unknown spa:~/user# openssl req -new -key unitycert.pk -out unitycert.csr \
-subj '/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com' \
-reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:name.example.com,IP:192.0.2.1"))

"/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com" and "DNS:name.example.com" are examples and must be changed per your environment (further details below). 
The IP option and IP Address for the SAN value is also optional and can be omitted.

The variables in the -subj field stand for:
C   = Country Code
ST = State or Province
L    = City or Locality
O = Organization
CN = Common Name (The FQDN you want to secure in this case the Unity)
SAN = Subject Alternative Name (IP and DNS for the entity you want to secure in this case the Unity)

3. Windows CAサーバー、OpenSSL CAサーバー、または別のCAサーバーによって署名されたCSRを取得します。

次の方法1または方法2を使用して、CSRをCAサーバーに配信します。  
 

• 方法1：「」を使用してCSRを印刷します。cat' コマンドを実行し、コピーしてローカルのメモ帳に貼り付け、: unitycert.csr.

service@unknown spa:~/user# cat unitycert.csr
-----BEGIN CERTIFICATE REQUEST-----
MIICljCCAX4CAQAwUTELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAk1BMREwDwYDVQQH
DAhTYXJhc290YTEPMA0GA1UECgwGTXlDdXN0MREwDwYDVQQDDAgxMC4wLjAuMTCC
ASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAOBxqufN1Vpm0hq5K5UU0ocd
teL2hJr5T1WIOmwQreX4nIdHIxVoWmyepmT7IZJIrQZQc8GuFDRx5qZ/cwlxoup7
<..snip..>
lJc/79vxTfrWWNnSF95C+wer2LB93VLov8MSQqPZfl0LPb4NRU/XaE4l9Vh5DYl4
/FmwHXsifwV5f1TUkvhC8YTwn5frWQjruz+ItZ3z9DetQX0OXYXMcaPX5Qp6aU5m
dsXFHDDiaVbOofJN9z6OPOsWUhn0ZwEpnW8q/+V72MdBIfiwEjoQqZZKh4w1l0/7
uElP8BfS7vH/i87OCqHJM0g/O3IndF+p5wYzmhrDPg/f3belQVQvKs7Z
-----END CERTIFICATE REQUEST-----

• 方法2：CSR by SCPをダウンロードします。

FileZillaやWinSCPなどのサード パーティー製ツールを使用して、Unity管理IP(ユーザー名: サービス)。プロトコルをSCPに変更する必要があります。

4. CAサーバーから署名済み証明書を受信したら、それをUnityにアップロードし、その名前をunitycert.crt(unitycertPK)です。これで、Unity には unitycert.crt と unitycert.pk の 2 つのファイルが作成されます。

5.コマンド svc_custom_cert 証明書をインストールするコマンド:     

service@unknown spa:~/user# svc_custom_cert unitycert
Successfully installed custom certificate files.
Restarting web server ...
Sun May 22 05:37:48 2016:7645\0x7f44ba3e27c0:32:Module CIC/1.1.10.6 loaded

メモ: 手順5が成功したら、unitycertを削除します。Unityアレイからのcrt、unitycert.pk、unitycert.csr。そうしないと、/cores/service/userに保存すると、セキュリティの脆弱性の問題が発生する可能性があります。

メモ: 新しい証明書をインストールしようとすると、次のエラーが発生する可能性があります。  

service@SPB spb:~/user# svc_custom_cert unitycert
ERROR: Certificate </tmp/cert.MIbZ4L/unitycert.crt> is invalid

証明書をインストールする前に、Base64でエンコードする必要があります。これは、Windowsツール「certutil」を使用して変換できます。

Certutil -v -encode unitycert.crt unity64cert.crt Input Length = 1520 Output Length = 2148
CertUtil: -encode command completed successfully.

または、UnityシステムでOpenSSLコマンドを使用して変換することもできます。

openssl x509 -in <certificate file> -inform DER -outform PEM -out unitycert.crt

変換したら、上記の手順に従ってインストールします。詳細については、KB 19728「「Dell EMC Unity：ローカル認証局によって署名されたSSL証明書をインポートする方法(ユーザー修正可能)」 を参照してください。

証明書がすでにPEM形式であるが、拡張子が.cerの場合は、次のコマンドを実行できます。

openssl x509 -inform PEM -in <certificate file> -outform PEM -out unitycert.crt

これはワイルドカード証明書で機能します

Base64でエンコードされた証明書部分に加えて、pkcs7でエンコードされた証明書または追加のコンテンツを含む証明書ファイルをアップロードすると、SPパニックやその他の問題が発生する場合があります。この場合、証明書は「Base64でエンコードされた証明書」の部分のみにトリミングできます。