Dell Unity: Zastępowanie certyfikatów SSL z podpisem własnym Unisphere podpisanymi certyfikatami z lokalnego urzędu certyfikacji. (możliwość korekty z poziomu użytkownika)

1. Generowanie klucza prywatnego w Unity

Użyj następującego polecenia, aby wygenerować klucz prywatny RSA o długości 2048 bitów. Opcja -out określa nazwę pliku dla klucza prywatnego.

service@unknown spa:~/user# openssl genrsa -out unitycert.pk 2048
Generating RSA private key, 2048 bit long modulus
............................+++
.........................................................................................+++
e is 65537 (0x10001)

2. Wniosek o CSR w Unity

Użyj klucza prywatnego, aby utworzyć CSR. Polecenie -new opcja wskazuje nowe żądanie, -key określa plik klucza prywatnego, oraz -out definiuje nazwę pliku CSR.

service@unknown spa:~/user# openssl req -new -key unitycert.pk -out unitycert.csr \
-subj '/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com' \
-reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:name.example.com,IP:192.0.2.1"))

"/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com" and "DNS:name.example.com" are examples and must be changed per your environment (further details below). 
The IP option and IP Address for the SAN value is also optional and can be omitted.

The variables in the -subj field stand for:
C   = Country Code
ST = State or Province
L    = City or Locality
O = Organization
CN = Common Name (The FQDN you want to secure in this case the Unity)
SAN = Subject Alternative Name (IP and DNS for the entity you want to secure in this case the Unity)

3. Pobierz CSR podpisany przez serwer urzędu certyfikacji systemu Windows, serwer urzędu certyfikacji OpenSSL lub inny serwer urzędu certyfikacji.

Dostarcz CSR do serwera CA przy użyciu metody 1 lub metody 2 poniżej:  
 

• Metoda 1: Wydrukuj CSR za pomocą 'cat', skopiuj i wklej go do lokalnego notatnika i zapisz jako: unitycert.csr.

service@unknown spa:~/user# cat unitycert.csr
-----BEGIN CERTIFICATE REQUEST-----
MIICljCCAX4CAQAwUTELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAk1BMREwDwYDVQQH
DAhTYXJhc290YTEPMA0GA1UECgwGTXlDdXN0MREwDwYDVQQDDAgxMC4wLjAuMTCC
ASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAOBxqufN1Vpm0hq5K5UU0ocd
teL2hJr5T1WIOmwQreX4nIdHIxVoWmyepmT7IZJIrQZQc8GuFDRx5qZ/cwlxoup7
<..snip..>
lJc/79vxTfrWWNnSF95C+wer2LB93VLov8MSQqPZfl0LPb4NRU/XaE4l9Vh5DYl4
/FmwHXsifwV5f1TUkvhC8YTwn5frWQjruz+ItZ3z9DetQX0OXYXMcaPX5Qp6aU5m
dsXFHDDiaVbOofJN9z6OPOsWUhn0ZwEpnW8q/+V72MdBIfiwEjoQqZZKh4w1l0/7
uElP8BfS7vH/i87OCqHJM0g/O3IndF+p5wYzmhrDPg/f3belQVQvKs7Z
-----END CERTIFICATE REQUEST-----

• Metoda 2: Pobierz CSR by SCP.

Użyj narzędzia innej firmy, takiego jak FileZilla lub WinSCP, aby połączyć się z adresem IP zarządzania (nazwa użytkownika: Usługa). Protokół musi zostać zmieniony na SCP.

4. Po odebraniu podpisanego certyfikatu z serwera urzędu certyfikacji przekaż go do aparatu Unity i zapisz jego nazwę jako unitycert.crt (odpowiadającą wartości unitycert.pk). W Unity będą teraz dwa pliki: unitycert.crt i unitycert.pk.

5. Użyj polecenia svc_custom_cert Polecenie instalacji certyfikatu:     

service@unknown spa:~/user# svc_custom_cert unitycert
Successfully installed custom certificate files.
Restarting web server ...
Sun May 22 05:37:48 2016:7645\0x7f44ba3e27c0:32:Module CIC/1.1.10.6 loaded

Uwaga: Po pomyślnym wykonaniu kroku 5 usuń unitycert.crt, unitycert.pk i unitycert.csr z macierzy Unity. W przeciwnym razie mogą one spowodować problem z luką w zabezpieczeniach, jeśli zapiszesz je w /cores/service/user.

Uwaga: Podczas próby zainstalowania nowego certyfikatu może wystąpić błąd:  

service@SPB spb:~/user# svc_custom_cert unitycert
ERROR: Certificate </tmp/cert.MIbZ4L/unitycert.crt> is invalid

Przed zainstalowaniem certyfikat musi być zakodowany w formacie base64. Można go przekonwertować za pomocą narzędzia systemu Windows "certutil":

Certutil -v -encode unitycert.crt unity64cert.crt Input Length = 1520 Output Length = 2148
CertUtil: -encode command completed successfully.

Można go również przekonwertować w systemie Unity za pomocą polecenia OpenSSL:

openssl x509 -in <certificate file> -inform DER -outform PEM -out unitycert.crt

Po przekonwertowaniu zainstaluj go, postępując zgodnie z powyższymi instrukcjami. Patrz artykuł bazy wiedzy 19728: Dell EMC Unity: Importowanie certyfikatu SSL, który został podpisany przez lokalny urząd certyfikacji (możliwość naprawienia przez użytkownika), aby uzyskać więcej informacji.

W przypadku, gdy certyfikat jest już w formacie PEM, ale rozszerzenie jest .cer, możesz uruchomić:

openssl x509 -inform PEM -in <certificate file> -outform PEM -out unitycert.crt

Działa to z certyfikatami

wieloznacznymi Przekazywanie plików certyfikatów zawierających certyfikaty zakodowane w formacie pkcs7 lub dodatkową zawartość oprócz części certyfikatu zakodowanego w formacie podstawowym 64 może czasami powodować błędy SP i inne problemy. W takim przypadku certyfikat można przyciąć tylko do części "Certyfikat zakodowany w formacie podstawowym 64".