Dell Unity: Unisphere 자체 서명 SSL 인증서를 로컬 인증 기관의 서명된 인증서로 교체하는 방법 (사용자 수정 가능)

1. Unity에서 개인 키 생성

다음 명령을 사용하여 길이가 2048비트인 RSA 개인 키를 생성합니다. -out 옵션은 개인 키의 파일 이름을 지정합니다.

service@unknown spa:~/user# openssl genrsa -out unitycert.pk 2048
Generating RSA private key, 2048 bit long modulus
............................+++
.........................................................................................+++
e is 65537 (0x10001)

2. Unity에서 CSR 요청

개인 키를 사용하여 CSR을 생성합니다. 이 -new option은 새 요청을 나타내고, -key 개인 키 파일을 지정합니다. -out 는 CSR 파일 이름을 정의합니다.

service@unknown spa:~/user# openssl req -new -key unitycert.pk -out unitycert.csr \
-subj '/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com' \
-reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:name.example.com,IP:192.0.2.1"))

"/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com" and "DNS:name.example.com" are examples and must be changed per your environment (further details below). 
The IP option and IP Address for the SAN value is also optional and can be omitted.

The variables in the -subj field stand for:
C   = Country Code
ST = State or Province
L    = City or Locality
O = Organization
CN = Common Name (The FQDN you want to secure in this case the Unity)
SAN = Subject Alternative Name (IP and DNS for the entity you want to secure in this case the Unity)

3. Windows CA 서버, OpenSSL CA 서버 또는 다른 CA 서버에서 CSR에 서명한 CSR을 가져옵니다.

아래의 방법 1 또는 방법 2를 사용하여 CA 서버에 CSR을 전달합니다.  
 

• 방법 1: ' 를 사용하여 CSR 인쇄cat' 명령을 입력하고 복사하여 로컬 메모장에 붙여넣고 다른 이름으로 저장합니다.: unitycert.csr.

service@unknown spa:~/user# cat unitycert.csr
-----BEGIN CERTIFICATE REQUEST-----
MIICljCCAX4CAQAwUTELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAk1BMREwDwYDVQQH
DAhTYXJhc290YTEPMA0GA1UECgwGTXlDdXN0MREwDwYDVQQDDAgxMC4wLjAuMTCC
ASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAOBxqufN1Vpm0hq5K5UU0ocd
teL2hJr5T1WIOmwQreX4nIdHIxVoWmyepmT7IZJIrQZQc8GuFDRx5qZ/cwlxoup7
<..snip..>
lJc/79vxTfrWWNnSF95C+wer2LB93VLov8MSQqPZfl0LPb4NRU/XaE4l9Vh5DYl4
/FmwHXsifwV5f1TUkvhC8YTwn5frWQjruz+ItZ3z9DetQX0OXYXMcaPX5Qp6aU5m
dsXFHDDiaVbOofJN9z6OPOsWUhn0ZwEpnW8q/+V72MdBIfiwEjoQqZZKh4w1l0/7
uElP8BfS7vH/i87OCqHJM0g/O3IndF+p5wYzmhrDPg/f3belQVQvKs7Z
-----END CERTIFICATE REQUEST-----

• 방법 2: CSR by SCP를 다운로드합니다.

FileZilla 또는 WinSCP와 같은 타사 툴을 사용하여 Unity 관리 IP(사용자 이름: 서비스). 프로토콜을 SCP로 변경해야 합니다.

4. CA 서버에서 서명된 인증서를 받은 후 Unity에 업로드하고 이름을 unitycert.crt(unitycert.pk)입니다. 이제 Unity에는 unitycert.crt 및 unitycert.pk 라는 두 개의 파일이 있습니다.

5. 다음으로 svc_custom_cert 인증서를 설치하는 명령:     

service@unknown spa:~/user# svc_custom_cert unitycert
Successfully installed custom certificate files.
Restarting web server ...
Sun May 22 05:37:48 2016:7645\0x7f44ba3e27c0:32:Module CIC/1.1.10.6 loaded

참고: 5단계가 성공하면 unitycert를 삭제합니다.Unity 어레이의 crt, unitycert.pk 및 unitycert.csr. 그렇지 않으면 /cores/service/user에 저장하면 보안 취약성 문제가 발생할 수 있습니다.

참고: 새 인증서를 설치하려고 할 때 오류가 발생할 수 있습니다.  

service@SPB spb:~/user# svc_custom_cert unitycert
ERROR: Certificate </tmp/cert.MIbZ4L/unitycert.crt> is invalid

인증서를 설치하기 전에 base64로 인코딩해야 합니다. Windows 도구 "certutil"을 사용하여 변환할 수 있습니다.

Certutil -v -encode unitycert.crt unity64cert.crt Input Length = 1520 Output Length = 2148
CertUtil: -encode command completed successfully.

또는 OpenSSL 명령을 사용하여 Unity 시스템에서 변환할 수 있습니다.

openssl x509 -in <certificate file> -inform DER -outform PEM -out unitycert.crt

변환되면 위의 지침을 사용하여 설치하십시오. 자세한 내용은 KB 19728: Dell EMC Unity: 로컬 인증 기관에서 서명한 SSL 인증서를 가져오는 방법(사용자 수정 가능)을 참조하십시오.

인증서가 이미 PEM 형식이지만 확장이 .cer 경우 다음을 실행할 수 있습니다.

openssl x509 -inform PEM -in <certificate file> -outform PEM -out unitycert.crt

이 작업은 와일드카드 인증서

에서 작동합니다. Base 64로 인코딩된 인증서 부분 외에 pkcs7 인코딩된 인증서 또는 추가 콘텐츠가 포함된 인증서 파일을 업로드하면 SP 패닉 및 기타 문제가 발생할 수 있습니다. 이 경우 인증서를 "Base 64로 인코딩된 인증서" 부분으로만 잘라낼 수 있습니다.