Dell Unity. Как заменить самозаверяющие сертификаты SSL Unisphere на подписанные сертификаты из локального источника сертификатов. (Исправляется пользователем)

1. Создание закрытого ключа в Unity

Используйте следующую команду для создания закрытого ключа RSA длиной 2048 бит. Опция -out указывает имя файла для вашего закрытого ключа.

service@unknown spa:~/user# openssl genrsa -out unitycert.pk 2048
Generating RSA private key, 2048 bit long modulus
............................+++
.........................................................................................+++
e is 65537 (0x10001)

2. Запрос CSR в Unity

Используйте закрытый ключ для создания CSR. Переменная -new указывает на новый запрос, -key задает файл закрытого ключа, а -out Определяет имя файла CSR.

service@unknown spa:~/user# openssl req -new -key unitycert.pk -out unitycert.csr \
-subj '/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com' \
-reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:name.example.com,IP:192.0.2.1"))

"/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com" and "DNS:name.example.com" are examples and must be changed per your environment (further details below). 
The IP option and IP Address for the SAN value is also optional and can be omitted.

The variables in the -subj field stand for:
C   = Country Code
ST = State or Province
L    = City or Locality
O = Organization
CN = Common Name (The FQDN you want to secure in this case the Unity)
SAN = Subject Alternative Name (IP and DNS for the entity you want to secure in this case the Unity)

3. Получите запрос CSR, подписанный сервером CA Windows, сервером CA OpenSSL или сервером другого CA.

Отправьте запрос CSR на сервер CA, используя метод 1 или метод 2, описанный ниже.  
 

• Способ 1. Напечатайте CSR, используя 'cat', скопируйте, вставьте его в локальный блокнот и сохраните как: unitycert.csr.

service@unknown spa:~/user# cat unitycert.csr
-----BEGIN CERTIFICATE REQUEST-----
MIICljCCAX4CAQAwUTELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAk1BMREwDwYDVQQH
DAhTYXJhc290YTEPMA0GA1UECgwGTXlDdXN0MREwDwYDVQQDDAgxMC4wLjAuMTCC
ASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAOBxqufN1Vpm0hq5K5UU0ocd
teL2hJr5T1WIOmwQreX4nIdHIxVoWmyepmT7IZJIrQZQc8GuFDRx5qZ/cwlxoup7
<..snip..>
lJc/79vxTfrWWNnSF95C+wer2LB93VLov8MSQqPZfl0LPb4NRU/XaE4l9Vh5DYl4
/FmwHXsifwV5f1TUkvhC8YTwn5frWQjruz+ItZ3z9DetQX0OXYXMcaPX5Qp6aU5m
dsXFHDDiaVbOofJN9z6OPOsWUhn0ZwEpnW8q/+V72MdBIfiwEjoQqZZKh4w1l0/7
uElP8BfS7vH/i87OCqHJM0g/O3IndF+p5wYzmhrDPg/f3belQVQvKs7Z
-----END CERTIFICATE REQUEST-----

• Способ 2. Скачайте CSR от SCP.

Используйте средство стороннего производителя, например FileZilla или WinSCP, для подключения к IP-адресу управления Unity (имя пользователя: Сервис). Протокол должен быть изменен на SCP.

4. После получения подписанного сертификата от сервера источника сертификатов загрузите его в систему Unity и сохраните его имя как unitycert.crt (соответствующее unitycert.ПК). Теперь в системе Unity будет два файла: unitycert.crt и unitycert.pk.

5. Используйте svc_custom_cert Команда для установки сертификата:     

service@unknown spa:~/user# svc_custom_cert unitycert
Successfully installed custom certificate files.
Restarting web server ...
Sun May 22 05:37:48 2016:7645\0x7f44ba3e27c0:32:Module CIC/1.1.10.6 loaded

Примечание. После успешного выполнения шага 5 удалите Unitycert.crt, unitycert.pk и unitycert.csr из массива Unity. В противном случае они могут вызвать проблему уязвимости безопасности, если вы сохраните их в /cores/service/user.

Примечание. При попытке установить новый сертификат может произойти ошибка:  

service@SPB spb:~/user# svc_custom_cert unitycert
ERROR: Certificate </tmp/cert.MIbZ4L/unitycert.crt> is invalid

Перед установкой сертификат должен быть закодирован в кодировке base64. Его можно преобразовать с помощью инструмента Windows «certutil»:

Certutil -v -encode unitycert.crt unity64cert.crt Input Length = 1520 Output Length = 2148
CertUtil: -encode command completed successfully.

Или его можно преобразовать в системе Unity с помощью команды OpenSSL:

openssl x509 -in <certificate file> -inform DER -outform PEM -out unitycert.crt

После преобразования установите его, следуя приведенным выше инструкциям. См. статью базы знаний 19728: Dell EMC Unity. Как импортировать SSL-сертификат, подписанный локальным центром сертификации (исправляется пользователем) для получения дополнительной информации.

Если сертификат уже имеет формат PEM, но расширение .cer, можно выполнить:

openssl x509 -inform PEM -in <certificate file> -outform PEM -out unitycert.crt

Это работает с подстановочными сертификатами. Загрузка

файлов сертификатов, содержащих сертификаты в кодировке pkcs7 или дополнительное содержимое в дополнение к части сертификата в кодировке Base 64, иногда может вызвать критические ошибки процессора СХД и другие проблемы. В этом случае сертификат можно сократить до части «Кодировка в кодировке Base 64».