PowerScale OneFS: Udskift eller forny SSL-certifikatet for Isilon Web Administration

Summary: Trin til at forny eller erstatte SSL-certifikatet for OneFS-webadministrationsgrænsefladen.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Bemærk: Kommandoerne i denne artikel er KUN beregnet til brug med en Isilon-klynge. Den er ikke beregnet til brug med en ekstern Linux-server.

 

Bemærk: Isilon fornyer ikke certifikatet automatisk. Den skal fornyes manuelt ved at følge trinnene i denne artikel i en Isilon-klynge.

 

Indledning

Denne artikel beskriver, hvordan du udskifter eller fornyer SSL-certifikatet (Secure Sockets Layer) til Isilon-webadministrationsgrænsefladen. Følgende procedurer omfatter muligheder for at fuldføre en selvsigneret certifikaterstatning eller fornyelse eller for at anmode om en SSL-erstatning eller fornyelse fra et nøglecenter.

Nødvendige værktøjer eller færdigheder

For at fuldføre denne opgave skal du have URL-adressen for at få adgang til Isilon-webadministrationsgrænsefladen. (Eksemplerne i denne artikel bruger https://isilon.example.com:8080/). Du skal også være komfortabel med at køre kommandoer fra kommandolinjen.

 

Forudsætninger

Referenceoplysninger
Følgende lister indeholder standardplaceringerne for server.crt og server.key filer. I de efterfølgende procedurer skal du opdatere trinnene, så de stemmer overens med disse oplysninger for den version af OneFS, der er installeret.

Få listen over certifikater ved at køre nedenstående kommando:

isi certificate server list 

    Procedure

    Opret en lokal arbejdsmappe.

    mkdir /ifs/local
cd /ifs/local

    Kontroller, om du vil forny et eksisterende certifikat, eller om du vil oprette et certifikat fra bunden.

    • Forny et eksisterende selvsigneret certifikat.
    Dette opretter et fornyelsescertifikat, der er baseret på det eksisterende (lager) ssl.key. Kør følgende kommando for at oprette et toårigt certifikat. Forøg eller formindsk værdien for -dage for at generere et certifikat med en anden udløbsdato:
    730 = 2yrs
    1825 = 5yr
    3650 = 10yr 
    cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
    Besvar systemets prompter om at fuldføre processen med at generere et selvsigneret SSL-certifikat ved at indtaste de relevante oplysninger for din organisation.

    For eksempel: 
    Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
    Når du er færdig med at indtaste oplysningerne, vises ikonet server.csr og server.key filer vises i /ifs/local directory.
    • (Valgfrit) Kontroller certifikatets integritet og attributter:
    openssl x509 -text -noout -in server.crt
    Gå efter dette trin til afsnittet Føj certifikatet til klyngen i denne artikel.
    • Opret et certifikat og en nøgle.
    Denne procedure viser, hvordan du opretter en ny privat nøgle og SSL-certifikat. Kør følgende kommando for at oprette en RSA 2048-bit Privat nøgle: 
    openssl genrsa -out server.key 2048
    Opret en anmodning om certifikatsignering: 
    openssl req -new -nodes -key server.key -out server.csr
    Angiv de relevante oplysninger for din organisation. 
    Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
    • (Valgfrit) Generer en CSR for en certifikatmyndighed, der indeholder emne-alternative-navne. Hvis der er behov for yderligere DNS, kan det tilføjes ved hjælp af et komma (,)
    F.eks.: DNS:example.com,DNS:www.example.com 
    openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
    Når du bliver bedt om det, skal du indtaste de oplysninger, der skal inkorporeres i certifikatanmodningen. Når du er færdig med at indtaste oplysningerne, vises ikonet server.csr og server.key filer vises i /ifs/local directory.

    Kontroller, om du vil selvsignere certifikatet eller få det signeret af et nøglecenter.
    • Selvsigner SSL-certifikatet.
    For selv at underskrive certifikatet med nøglen skal du køre nedenstående kommando, som opretter et nyt selvsigneret certifikat, der er gyldigt i 2 år: 
    openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
    Kontroller, at nøglen matcher certifikatet, begge kommandoer skal returnere den samme md5-værdi: 
    openssl x509 -noout -modulus -in server.crt | openssl md5           
openssl rsa -noout -modulus -in server.key | openssl md5
    Gå efter dette trin til afsnittet Føj certifikatet til klyngen i denne artikel.
    • Få et nøglecenter til at signere certifikatet.
    Hvis et nøglecenter signerer certifikatet, skal du sikre dig, at det nye SSL-certifikat er i x509-format og omfatter hele certifikatets tillidskæde.

    Det er almindeligt, at CA returnerer det nye SSL-certifikat, det mellemliggende certifikat og rodcertifikatet i separate filer.

    Hvis nøglecenteret har gjort dette, SKAL du oprette det PEM-formaterede certifikat manuelt.

    Rækkefølgen betyder noget, når du opretter det PEM-formaterede certifikat. Dit certifikat skal være øverst i filen efterfulgt af de mellemliggende certifikater, og rodcertifikatet skal være nederst.

    Her er et eksempel på, hvordan den PEM-formaterede fil ser ud: 
    -----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
    En enkel måde at oprette den PEM-formaterede fil fra CLI er at kategorisere filerne (husk, at filernes rækkefølge betyder noget): 
    cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
    Kopier onefs_pem_formatted.crt fil til /ifs/local directory og omdøbe det til server.crt.
     
    Bemærk: Hvis der .cer filen modtages, omdøb den til en .crt forlængelse.

     

    • (Valgfrit) Kontroller certifikatets integritet og attributter:
    openssl x509 -text -noout -in server.crt

    Føj certifikatet til klyngen:

    1. Importer det nye certifikat og den nye nøgle til systemet:
    isi certificate server import /ifs/local/server.crt /ifs/local/server.key
    1. Kontroller, at certifikatet er importeret:
    isi certificate server list -v
    1. Angiv det importerede certifikat som standard:
      isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
      1. Brug nedenstående kommando til at bekræfte, at det importerede certifikat bruges som standard, ved at kontrollere status for "Standard HTTPS-certifikat":
      isi certificate settings view
      1. Hvis der er et ubrugt eller forældet certifikat, skal du slette dette med kommandoen:
      isi certificate server delete --id=<id_of_cert_to_delete>
      1. Få vist det nye importerede certifikat med kommandoen:
      isi certificate server view --id=<id_of_cert>

      Verifikation

      Der er to metoder til at verificere det opdaterede SSL-certifikat.

      • Fra en webbrowser:
      1. Gå til https://<common name>:8080, hvor <almindeligt navn> er det værtsnavn, der bruges til at få adgang til Isilon-webadministrationsgrænsefladen. F.eks. isilon.example.com
      2. Få vist sikkerhedsoplysningerne for websiden. Trinene til at gøre dette varierer fra browser til browser. I nogle browsere skal du klikke på hængelåsikonet i adresselinjen for at få vist sikkerhedsoplysningerne for websiden.
      3. I sikkerhedsoplysningerne for websiden skal du kontrollere, at emnelinjen og andre detaljer er korrekte. Der vises et output, der ligner det følgende, hvor <dinstat>, <dinhed> og <din virksomhed> er staten, byen og navnet på din organisation:
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
      • Fra en kommandolinje:
      1. Åbn en SSH -forbindelse på en hvilken som helst node i klyngen, og log ind ved hjælp af "root"-kontoen.
      2. Kør følgende kommando:
      echo QUIT | openssl s_client -connect localhost:8080
      1. Der vises et output, der ligner det følgende, hvor <dinstat>, <dinhed> og <din virksomhed> er staten, byen og navnet på din organisation:
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com

      Additional Information

      Bemærk: Hændelsesalarmen udløses også på Isilon som vist nedenfor: 
      SW_CERTIFICATE_EXPIRING: X.509 certificate default is nearing expiration:

Event: 400170001
Certificate 'default' in '**' store is nearing expiration:

      Affected Products

      PowerScale OneFS

      Products

      Isilon
      Article Properties
      Article Number: 000157711
      Article Type: How To
      Last Modified: 17 Sep 2025
      Version:  20
      Find answers to your questions from other Dell users
      Support Services
      Check if your device is covered by Support Services.