Dell Unity: Zelf ondertekende SSL-certificaten van Unisphere vervangen door ondertekende certificaten van een lokale certificeringsinstantie. (Op te lossen door gebruiker)

1. Een persoonlijke sleutel genereren op Unity

Gebruik de volgende opdracht om een RSA-privésleutel met een lengte van 2048 bits te genereren. Met de optie -out geeft u de bestandsnaam voor uw persoonlijke sleutel aan.

service@unknown spa:~/user# openssl genrsa -out unitycert.pk 2048
Generating RSA private key, 2048 bit long modulus
............................+++
.........................................................................................+++
e is 65537 (0x10001)

2. CSR aanvragen op Unity

Gebruik de persoonlijke sleutel om de CSR te maken. De -new optie geeft een nieuwe aanvraag aan, -key specificeert het bestand met de persoonlijke sleutel, en -out definieert de CSR-bestandsnaam.

service@unknown spa:~/user# openssl req -new -key unitycert.pk -out unitycert.csr \
-subj '/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com' \
-reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:name.example.com,IP:192.0.2.1"))

"/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com" and "DNS:name.example.com" are examples and must be changed per your environment (further details below). 
The IP option and IP Address for the SAN value is also optional and can be omitted.

The variables in the -subj field stand for:
C   = Country Code
ST = State or Province
L    = City or Locality
O = Organization
CN = Common Name (The FQDN you want to secure in this case the Unity)
SAN = Subject Alternative Name (IP and DNS for the entity you want to secure in this case the Unity)

3. Laat de CSR ondertekenen door de Windows CA-server of OpenSSL CA-server of een andere CA-server.

CSR leveren aan een CA-server met behulp van methode 1 of methode 2 hieronder:  
 

• Methode 1: MVO afdrukken met 'cat' opdracht, kopieer en plak het in uw lokale kladblok en sla het op als:: unitycert.csr.

service@unknown spa:~/user# cat unitycert.csr
-----BEGIN CERTIFICATE REQUEST-----
MIICljCCAX4CAQAwUTELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAk1BMREwDwYDVQQH
DAhTYXJhc290YTEPMA0GA1UECgwGTXlDdXN0MREwDwYDVQQDDAgxMC4wLjAuMTCC
ASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAOBxqufN1Vpm0hq5K5UU0ocd
teL2hJr5T1WIOmwQreX4nIdHIxVoWmyepmT7IZJIrQZQc8GuFDRx5qZ/cwlxoup7
<..snip..>
lJc/79vxTfrWWNnSF95C+wer2LB93VLov8MSQqPZfl0LPb4NRU/XaE4l9Vh5DYl4
/FmwHXsifwV5f1TUkvhC8YTwn5frWQjruz+ItZ3z9DetQX0OXYXMcaPX5Qp6aU5m
dsXFHDDiaVbOofJN9z6OPOsWUhn0ZwEpnW8q/+V72MdBIfiwEjoQqZZKh4w1l0/7
uElP8BfS7vH/i87OCqHJM0g/O3IndF+p5wYzmhrDPg/f3belQVQvKs7Z
-----END CERTIFICATE REQUEST-----

• Methode 2: Download CSR van SCP.

Gebruik een tool van derden, zoals FileZilla of WinSCP, om verbinding te maken met Unity beheer-IP (gebruikersnaam: Dienst). Het protocol moet worden gewijzigd in SCP.

4. Nadat het ondertekende certificaat is ontvangen van de CA-server, uploadt u het naar Unity en slaat u de naam op als unitycert.crt (overeenkomend met unitycert.PK). Er zijn nu twee bestanden op Unity: unitycert.crt en unitycert.pk.

5. Gebruik de svc_custom_cert Opdracht voor het installeren van het certificaat:     

service@unknown spa:~/user# svc_custom_cert unitycert
Successfully installed custom certificate files.
Restarting web server ...
Sun May 22 05:37:48 2016:7645\0x7f44ba3e27c0:32:Module CIC/1.1.10.6 loaded

Opmerking: Zodra stap 5 is geslaagd, verwijdert u unitycert.crt, unitycert.pk en unitycert.csr van de Unity-array. Anders kunnen deze een beveiligingsprobleem veroorzaken als u ze opslaat in /cores/service/user.

Opmerking: Er kan een fout optreden bij het installeren van het nieuwe certificaat:  

service@SPB spb:~/user# svc_custom_cert unitycert
ERROR: Certificate </tmp/cert.MIbZ4L/unitycert.crt> is invalid

Het certificaat moet base64-gecodeerd zijn voordat u het installeert. Het kan worden geconverteerd met behulp van de Windows-tool "certutil":

Certutil -v -encode unitycert.crt unity64cert.crt Input Length = 1520 Output Length = 2148
CertUtil: -encode command completed successfully.

Of het kan worden geconverteerd op het Unity-systeem met de opdracht OpenSSL:

openssl x509 -in <certificate file> -inform DER -outform PEM -out unitycert.crt

Eenmaal geconverteerd, installeert u het met behulp van de bovenstaande instructies. Zie KB 19728: Dell EMC Unity: Een SSL-certificaat importeren dat is ondertekend door een lokale certificeringsinstantie (op te lossen door gebruiker) voor meer informatie.

Als het certificaat al in de PEM-indeling is, maar de extensie .cer, kunt u het volgende uitvoeren:

openssl x509 -inform PEM -in <certificate file> -outform PEM -out unitycert.crt

Dit werkt met jokertekencertificaten

: Het uploaden van certificaatbestanden met pkcs7-gecodeerde certificaten of extra inhoud naast het Base 64-gecodeerde certificaatgedeelte kan soms SP-panics en andere problemen veroorzaken. In dit geval kan het certificaat worden ingekort tot alleen het gedeelte "Base 64 encoded certificate".