Dell Unity: Hvordan erstatte Unisphere selvsignerte SSL-sertifikater med signerte sertifikater fra en lokal sertifiseringsinstans. (Kan rettes opp av bruker)

1. Generer en privat nøkkel på Unity

Bruk følgende kommando for å generere en privat RSA-nøkkel med en lengde på 2048 biter. -out-alternativet angir filnavnet for den private nøkkelen.

service@unknown spa:~/user# openssl genrsa -out unitycert.pk 2048
Generating RSA private key, 2048 bit long modulus
............................+++
.........................................................................................+++
e is 65537 (0x10001)

2. Be om CSR på Unity

Bruk den private nøkkelen til å opprette CSR-en. Informasjonen i -new alternativet indikerer en ny forespørsel, -key angir privatnøkkelfilen, og -out definerer CSR-filnavnet.

service@unknown spa:~/user# openssl req -new -key unitycert.pk -out unitycert.csr \
-subj '/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com' \
-reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:name.example.com,IP:192.0.2.1"))

"/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com" and "DNS:name.example.com" are examples and must be changed per your environment (further details below). 
The IP option and IP Address for the SAN value is also optional and can be omitted.

The variables in the -subj field stand for:
C   = Country Code
ST = State or Province
L    = City or Locality
O = Organization
CN = Common Name (The FQDN you want to secure in this case the Unity)
SAN = Subject Alternative Name (IP and DNS for the entity you want to secure in this case the Unity)

3. Få CSR-en signert av Windows CA-server eller OpenSSL CA-server eller en annen CA-server.

Lever CSR til en CA-server ved hjelp av metode 1 eller metode 2 nedenfor:  
 

• Fremgangsmåte 1: Skriv ut CSR ved hjelp av 'cat'kommando, kopier og lim den inn i din lokale notisblokk og lagre den som: unitycert.csr.

service@unknown spa:~/user# cat unitycert.csr
-----BEGIN CERTIFICATE REQUEST-----
MIICljCCAX4CAQAwUTELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAk1BMREwDwYDVQQH
DAhTYXJhc290YTEPMA0GA1UECgwGTXlDdXN0MREwDwYDVQQDDAgxMC4wLjAuMTCC
ASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAOBxqufN1Vpm0hq5K5UU0ocd
teL2hJr5T1WIOmwQreX4nIdHIxVoWmyepmT7IZJIrQZQc8GuFDRx5qZ/cwlxoup7
<..snip..>
lJc/79vxTfrWWNnSF95C+wer2LB93VLov8MSQqPZfl0LPb4NRU/XaE4l9Vh5DYl4
/FmwHXsifwV5f1TUkvhC8YTwn5frWQjruz+ItZ3z9DetQX0OXYXMcaPX5Qp6aU5m
dsXFHDDiaVbOofJN9z6OPOsWUhn0ZwEpnW8q/+V72MdBIfiwEjoQqZZKh4w1l0/7
uElP8BfS7vH/i87OCqHJM0g/O3IndF+p5wYzmhrDPg/f3belQVQvKs7Z
-----END CERTIFICATE REQUEST-----

• Fremgangsmåte 2: Last ned CSR fra SCP.

Bruk et tredjepartsverktøy, for eksempel FileZilla eller WinSCP, til å koble til IP-adressen for Unity-administrasjon (brukernavn: Tjeneste). Protokollen må endres til SCP.

4. Når det signerte sertifikatet er mottatt fra CA-serveren, laster du det opp til Unity og lagrer navnet som unitycert.crt (tilsvarer unitycert.PK). Det vil nå være to filer på Unity: unitycert.crt og unitycert.pk.

5. Trykk på svc_custom_cert Kommando for å installere sertifikatet:     

service@unknown spa:~/user# svc_custom_cert unitycert
Successfully installed custom certificate files.
Restarting web server ...
Sun May 22 05:37:48 2016:7645\0x7f44ba3e27c0:32:Module CIC/1.1.10.6 loaded

Merk: Når trinn 5 er vellykket, sletter du unitycert.crt, unitycert.pk og unitycert.csr fra Unity-matrisen. Ellers kan disse forårsake et sikkerhetsproblem hvis du lagrer dem i /cores/service/user.

Merk: Det kan oppstå en feil når du prøver å installere det nye sertifikatet:  

service@SPB spb:~/user# svc_custom_cert unitycert
ERROR: Certificate </tmp/cert.MIbZ4L/unitycert.crt> is invalid

Sertifikatet må være base64-kodet før du installerer det. Den kan konverteres ved hjelp av Windows-verktøyet "certutil":

Certutil -v -encode unitycert.crt unity64cert.crt Input Length = 1520 Output Length = 2148
CertUtil: -encode command completed successfully.

Eller det kan konverteres på Unity-systemet med OpenSSL-kommandoen:

openssl x509 -in <certificate file> -inform DER -outform PEM -out unitycert.crt

Når du har konvertert, installerer du den ved hjelp av instruksjonene ovenfor. Se KB 19728: Dell EMC Unity: Slik importerer du et SSL-sertifikat som er signert av en lokal sertifiseringsinstans (kan korrigeres av brukeren) for mer informasjon.

Hvis sertifikatet allerede er i PEM-format, men utvidelsen er .cer, kan du kjøre:

openssl x509 -inform PEM -in <certificate file> -outform PEM -out unitycert.crt

Dette fungerer med jokertegnsertifikater

Opplasting av sertifikatfiler som inneholder pkcs7-kodede certer eller tilleggsinnhold i tillegg til Base 64-kodede sertifikatdelen kan noen ganger føre til SP-panikk og andre problemer. I dette tilfellet kan sertifikatet trimmes ned til bare delen "Base 64-kodet sertifikat".