Dell Unity: Så här ersätter du självsignerade Unisphere-SSL-certifikat med signerade certifikat från en lokal certifikatutfärdare. (kan korrigeras av användaren)

1. Generera en privat nyckel på Unity

Använd följande kommando för att generera en privat RSA-nyckel med en längd på 2048 bitar. Alternativet -out anger filnamnet för din privata nyckel.

service@unknown spa:~/user# openssl genrsa -out unitycert.pk 2048
Generating RSA private key, 2048 bit long modulus
............................+++
.........................................................................................+++
e is 65537 (0x10001)

2. Begär CSR för Unity

Använd den privata nyckeln för att skapa CSR. Informationen -new anger en ny begäran, -key anger filen med den privata nyckeln och -out definierar CSR-filnamnet.

service@unknown spa:~/user# openssl req -new -key unitycert.pk -out unitycert.csr \
-subj '/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com' \
-reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:name.example.com,IP:192.0.2.1"))

"/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com" and "DNS:name.example.com" are examples and must be changed per your environment (further details below). 
The IP option and IP Address for the SAN value is also optional and can be omitted.

The variables in the -subj field stand for:
C   = Country Code
ST = State or Province
L    = City or Locality
O = Organization
CN = Common Name (The FQDN you want to secure in this case the Unity)
SAN = Subject Alternative Name (IP and DNS for the entity you want to secure in this case the Unity)

3. Hämta CSR signerad av Windows CA-server eller OpenSSL CA-server eller en annan CA-server.

Leverera CSR till en CA-server med hjälp av metod 1 eller metod 2 nedan:  
 

• Metod 1: Skriv ut CSR med 'cat' kommando, kopiera och klistra in den i ditt lokala anteckningsblock och spara den som: unitycert.csr.

service@unknown spa:~/user# cat unitycert.csr
-----BEGIN CERTIFICATE REQUEST-----
MIICljCCAX4CAQAwUTELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAk1BMREwDwYDVQQH
DAhTYXJhc290YTEPMA0GA1UECgwGTXlDdXN0MREwDwYDVQQDDAgxMC4wLjAuMTCC
ASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAOBxqufN1Vpm0hq5K5UU0ocd
teL2hJr5T1WIOmwQreX4nIdHIxVoWmyepmT7IZJIrQZQc8GuFDRx5qZ/cwlxoup7
<..snip..>
lJc/79vxTfrWWNnSF95C+wer2LB93VLov8MSQqPZfl0LPb4NRU/XaE4l9Vh5DYl4
/FmwHXsifwV5f1TUkvhC8YTwn5frWQjruz+ItZ3z9DetQX0OXYXMcaPX5Qp6aU5m
dsXFHDDiaVbOofJN9z6OPOsWUhn0ZwEpnW8q/+V72MdBIfiwEjoQqZZKh4w1l0/7
uElP8BfS7vH/i87OCqHJM0g/O3IndF+p5wYzmhrDPg/f3belQVQvKs7Z
-----END CERTIFICATE REQUEST-----

• Metod 2: Ladda ner CSR från SCP.

Använd ett verktyg från tredje part, till exempel FileZilla eller WinSCP, för att ansluta till Unity-hanterings-IP (användarnamn: tjänsten). Protokollet måste ändras till SCP.

4. När det signerade certifikatet har tagits emot från CA-servern laddar du upp det till Unity och sparar dess namn som unitycert.crt (motsvarande unitycert.pk). Det kommer nu att finnas två filer på Unity: unitycert.crt och unitycert.pk.

5. Använd tangenten svc_custom_cert Kommando för att installera certifikatet:     

service@unknown spa:~/user# svc_custom_cert unitycert
Successfully installed custom certificate files.
Restarting web server ...
Sun May 22 05:37:48 2016:7645\0x7f44ba3e27c0:32:Module CIC/1.1.10.6 loaded

Obs! När steg 5 har slutförts tar du bort unitycert.crt, unitycert.pk och unitycert.csr från Unity-disksystemet. Annars kan dessa orsaka ett säkerhetsproblem om du sparar dem i /cores/service/user.

Obs! Ett fel kan inträffa när du försöker installera det nya certifikatet:  

service@SPB spb:~/user# svc_custom_cert unitycert
ERROR: Certificate </tmp/cert.MIbZ4L/unitycert.crt> is invalid

Certifikatet måste vara base64-kodat innan det installeras. Den kan konverteras med Windows-verktyget "certutil":

Certutil -v -encode unitycert.crt unity64cert.crt Input Length = 1520 Output Length = 2148
CertUtil: -encode command completed successfully.

Eller så kan den konverteras på Unity-systemet med OpenSSL-kommandot:

openssl x509 -in <certificate file> -inform DER -outform PEM -out unitycert.crt

När du har konverterat installerar du den med hjälp av instruktionerna ovan. Se KB 19728: Dell EMC Unity: Så här importerar du ett SSL-certifikat som har signerats av en lokal certifikatutfärdare (kan korrigeras av användaren) för mer information.

Om certifikatet redan är i PEM-format men tillägget är .cer kan du köra:

openssl x509 -inform PEM -in <certificate file> -outform PEM -out unitycert.crt

Detta fungerar med jokerteckencertifikat

Om du laddar upp certifikatfiler som innehåller pkcs7-kodade certifikat eller ytterligare innehåll utöver den base 64-kodade certifikatdelen kan det ibland orsaka SP-panik och andra problem. I det här fallet kan certifikatet trimmas ned till endast delen "Base 64-kodat certifikat".