Dell Unity: Como substituir certificados SSL autoassinados do Unisphere por certificados assinados de uma autoridade de certificação local. (Corrigível pelo usuário)

1. Gerar uma chave privada no Unity

Use o comando a seguir para gerar uma chave privada RSA com um comprimento de 2048 bits. A opção -out especifica o nome do arquivo para sua chave privada.

service@unknown spa:~/user# openssl genrsa -out unitycert.pk 2048
Generating RSA private key, 2048 bit long modulus
............................+++
.........................................................................................+++
e is 65537 (0x10001)

2. Solicitar CSR no Unity

Use a chave privada para criar a CSR. A coluna -new indica uma nova solicitação, -key Especifica o arquivo de chave privada e -out define o nome do arquivo da CSR.

service@unknown spa:~/user# openssl req -new -key unitycert.pk -out unitycert.csr \
-subj '/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com' \
-reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:name.example.com,IP:192.0.2.1"))

"/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com" and "DNS:name.example.com" are examples and must be changed per your environment (further details below). 
The IP option and IP Address for the SAN value is also optional and can be omitted.

The variables in the -subj field stand for:
C   = Country Code
ST = State or Province
L    = City or Locality
O = Organization
CN = Common Name (The FQDN you want to secure in this case the Unity)
SAN = Subject Alternative Name (IP and DNS for the entity you want to secure in this case the Unity)

3. Obtenha a CSR assinada pelo servidor de CA do Windows, pelo servidor de CA OpenSSL ou por outro servidor de CA.

Forneça a CSR a um servidor CA usando o método 1 ou o método 2 abaixo:  
 

• Método 1: Imprimir CSR usando 'cat' comando, copie e cole no bloco de notas local e salve-o como: unitycert.csr.

service@unknown spa:~/user# cat unitycert.csr
-----BEGIN CERTIFICATE REQUEST-----
MIICljCCAX4CAQAwUTELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAk1BMREwDwYDVQQH
DAhTYXJhc290YTEPMA0GA1UECgwGTXlDdXN0MREwDwYDVQQDDAgxMC4wLjAuMTCC
ASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAOBxqufN1Vpm0hq5K5UU0ocd
teL2hJr5T1WIOmwQreX4nIdHIxVoWmyepmT7IZJIrQZQc8GuFDRx5qZ/cwlxoup7
<..snip..>
lJc/79vxTfrWWNnSF95C+wer2LB93VLov8MSQqPZfl0LPb4NRU/XaE4l9Vh5DYl4
/FmwHXsifwV5f1TUkvhC8YTwn5frWQjruz+ItZ3z9DetQX0OXYXMcaPX5Qp6aU5m
dsXFHDDiaVbOofJN9z6OPOsWUhn0ZwEpnW8q/+V72MdBIfiwEjoQqZZKh4w1l0/7
uElP8BfS7vH/i87OCqHJM0g/O3IndF+p5wYzmhrDPg/f3belQVQvKs7Z
-----END CERTIFICATE REQUEST-----

• Método 2: Faça download da CSR pelo SCP.

Use uma ferramenta de terceiros, como FileZilla ou WinSCP, para se conectar ao IP de gerenciamento do Unity (nome de usuário: Serviço). O protocolo deve ser alterado para SCP.

4. Depois que o certificado assinado for recebido do servidor CA, carregue-o no Unity e salve seu nome como unitycert.crt (correspondente a unitycert.pk). Agora haverá dois arquivos no Unity: unitycert.crt e unitycert.pk.

5. Use o comando svc_custom_cert Comando para instalar o certificado:     

service@unknown spa:~/user# svc_custom_cert unitycert
Successfully installed custom certificate files.
Restarting web server ...
Sun May 22 05:37:48 2016:7645\0x7f44ba3e27c0:32:Module CIC/1.1.10.6 loaded

Nota: Quando a etapa 5 for bem-sucedida, exclua unitycert.crt, unitycert.pk e unitycert.csr do array Unity. Caso contrário, eles podem causar um problema de vulnerabilidade de segurança se você salvá-los em /cores/service/user.

Nota: Pode ocorrer um erro ao tentar instalar o novo certificado:  

service@SPB spb:~/user# svc_custom_cert unitycert
ERROR: Certificate </tmp/cert.MIbZ4L/unitycert.crt> is invalid

O certificado deve ser codificado em base64 antes de instalá-lo. Ele pode ser convertido usando a ferramenta "certutil" do Windows:

Certutil -v -encode unitycert.crt unity64cert.crt Input Length = 1520 Output Length = 2148
CertUtil: -encode command completed successfully.

Ou ele pode ser convertido no sistema Unity com o comando OpenSSL:

openssl x509 -in <certificate file> -inform DER -outform PEM -out unitycert.crt

Depois de convertido, instale-o usando as instruções acima. Consulte a KB 19728: Dell EMC Unity: Como importar um certificado SSL que foi assinado por uma autoridade de certificação local (corrigível pelo usuário) para obter mais detalhes.

Caso o certificado já esteja no formato PEM, mas a extensão esteja .cer, você pode executar:

openssl x509 -inform PEM -in <certificate file> -outform PEM -out unitycert.crt

Isso funciona com certificados curinga: carregar arquivos

de certificado contendo certificados codificados pkcs7 ou conteúdo adicional, além da parte do certificado codificado Base 64, às vezes pode causar panes da controladora e outros problemas. Nesse caso, o certificado pode ser reduzido apenas para a parte "Certificado codificado base 64".