Dell Unity: Як замінити самопідписані SSL-сертифікати Unisphere на підписані сертифікати з локального центру сертифікації. (Виправляється користувачем)

1. Згенеруйте приватний ключ на Unity

Використовуйте наведену нижче команду, щоб згенерувати закритий ключ RSA з довжиною 2048 біт. Параметр -out визначає ім'я файлу для вашого закритого ключа.

service@unknown spa:~/user# openssl genrsa -out unitycert.pk 2048
Generating RSA private key, 2048 bit long modulus
............................+++
.........................................................................................+++
e is 65537 (0x10001)

2. Запит КСВ на Unity

Використовуйте приватний ключ для створення CSR. Об'єкт -new опція вказує на новий запит, -key вказує файл закритого ключа, а -out визначає ім'я файлу CSR.

service@unknown spa:~/user# openssl req -new -key unitycert.pk -out unitycert.csr \
-subj '/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com' \
-reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:name.example.com,IP:192.0.2.1"))

"/C=IE/ST=Cork/L=Ovens/O=DellEMC/CN=name.example.com" and "DNS:name.example.com" are examples and must be changed per your environment (further details below). 
The IP option and IP Address for the SAN value is also optional and can be omitted.

The variables in the -subj field stand for:
C   = Country Code
ST = State or Province
L    = City or Locality
O = Organization
CN = Common Name (The FQDN you want to secure in this case the Unity)
SAN = Subject Alternative Name (IP and DNS for the entity you want to secure in this case the Unity)

3. Отримайте CSR, підписаний сервером CA Windows або сервером OpenSSL CA або іншим сервером ЦС.

Доставте CSR на сервер ЦС за допомогою Методу 1 або Методу 2 нижче:  
 

• Спосіб 1: Друк CSR за допомогою 'cat', скопіюйте та вставте його у свій локальний блокнот і збережіть як: unitycert.csr.

service@unknown spa:~/user# cat unitycert.csr
-----BEGIN CERTIFICATE REQUEST-----
MIICljCCAX4CAQAwUTELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAk1BMREwDwYDVQQH
DAhTYXJhc290YTEPMA0GA1UECgwGTXlDdXN0MREwDwYDVQQDDAgxMC4wLjAuMTCC
ASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAOBxqufN1Vpm0hq5K5UU0ocd
teL2hJr5T1WIOmwQreX4nIdHIxVoWmyepmT7IZJIrQZQc8GuFDRx5qZ/cwlxoup7
<..snip..>
lJc/79vxTfrWWNnSF95C+wer2LB93VLov8MSQqPZfl0LPb4NRU/XaE4l9Vh5DYl4
/FmwHXsifwV5f1TUkvhC8YTwn5frWQjruz+ItZ3z9DetQX0OXYXMcaPX5Qp6aU5m
dsXFHDDiaVbOofJN9z6OPOsWUhn0ZwEpnW8q/+V72MdBIfiwEjoQqZZKh4w1l0/7
uElP8BfS7vH/i87OCqHJM0g/O3IndF+p5wYzmhrDPg/f3belQVQvKs7Z
-----END CERTIFICATE REQUEST-----

• Спосіб 2: Завантажити CSR від SCP.

Використовуйте сторонній інструмент, наприклад FileZilla або WinSCP, для підключення до IP-адреси керування Unity (ім'я користувача: Сервіс). Протокол повинен бути змінений на SCP.

4. Після того, як підписаний сертифікат буде отримано з сервера ЦС, завантажте його в Unity і збережіть його ім'я як unitycert.crt (що відповідає unitycert.пп). Тепер на Unity буде два файли: unitycert.crt і unitycert.pk.

5. За допомогою кнопки svc_custom_cert Команда для встановлення сертифіката:     

service@unknown spa:~/user# svc_custom_cert unitycert
Successfully installed custom certificate files.
Restarting web server ...
Sun May 22 05:37:48 2016:7645\0x7f44ba3e27c0:32:Module CIC/1.1.10.6 loaded

Примітка. Як тільки крок 5 буде успішним, видаліть unitycert.crt, unitycert.pk та unitycert.csr з масиву Unity. В іншому випадку вони можуть спричинити проблему з безпекою, якщо ви збережете їх у /cores/service/user.

Примітка. Під час спроби встановити новий сертифікат може статися помилка:  

service@SPB spb:~/user# svc_custom_cert unitycert
ERROR: Certificate </tmp/cert.MIbZ4L/unitycert.crt> is invalid

Перед встановленням сертифікат повинен бути закодований base64. Його можна перетворити за допомогою інструменту Windows "certutil":

Certutil -v -encode unitycert.crt unity64cert.crt Input Length = 1520 Output Length = 2148
CertUtil: -encode command completed successfully.

Або ж його можна конвертувати в системі Unity за допомогою команди OpenSSL:

openssl x509 -in <certificate file> -inform DER -outform PEM -out unitycert.crt

Після перетворення встановіть його, дотримуючись інструкцій вище. KB 19728: Dell EMC Unity: Як імпортувати сертифікат SSL, підписаний місцевим центром сертифікації (з можливістю виправлення користувачем) для отримання більш детальної інформації.

У разі, якщо сертифікат вже у форматі PEM, але розширення .cer, ви можете запустити:

openssl x509 -inform PEM -in <certificate file> -outform PEM -out unitycert.crt

Це працює з сертифікатами

Wildcard Завантаження файлів сертифікатів, що містять закодовані сертифікати pkcs7 або додатковий вміст на додаток до частини сертифікатів із кодуванням Base 64, іноді може спричинити паніку SP та інші проблеми. У цьому випадку сертифікат може бути обрізаний лише до частини "Сертифікат із кодуванням Base 64".