PowerScale OneFS: Ersetzen oder Erneuern des SSL-Zertifikats für die Isilon-Webadministration

Summary: Schritte zum Erneuern oder Ersetzen des SSL-Zertifikats für die OneFS-Webverwaltungsschnittstelle.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Hinweis: Die Befehle in diesem Artikel sind AUSSCHLIESSLICH für die Verwendung mit einem Isilon-Cluster vorgesehen. Es ist nicht für die Verwendung mit einem externen Linux-Server vorgesehen.

 

Hinweis: Isilon erneuert das Zertifikat nicht automatisch. Sie muss manuell erneuert werden, indem Sie die Schritte in diesem Artikel in einem Isilon-Cluster befolgen.

 

Einführung

In diesem Artikel wird erläutert, wie Sie das SSL-Zertifikat (Secure Sockets Layer) für die Isilon-Webverwaltungsoberfläche ersetzen oder erneuern. Die folgenden Verfahren umfassen Optionen für das Ersetzen oder Erneuern eines selbstsignierten Zertifikats und für das Anfordern eines SSL-Zertifikatersatzes oder einer -erneuerung von einer Zertifizierungsstelle (CA).

Erforderliche Tools oder Fähigkeiten

Zum Ausführen dieser Aufgabe benötigen Sie die URL für den Zugriff auf die Webverwaltungsschnittstelle von Isilon. (In den Beispielen in diesem Artikel wird https://isilon.example.com:8080/.) Sie sollten auch mit dem Ausführen von Befehlen über die Befehlszeile vertraut sein.

 

Voraussetzungen

Referenzinformationen
Die folgenden Listen enthalten die Standardspeicherorte für die server.crt und server.key Dateien. Verwenden Sie für die Schritte der folgenden Verfahren die entsprechenden Informationen für Ihre installierte Version von OneFS.

Rufen Sie die Liste der Zertifikate mit dem folgenden Befehl ab:

isi certificate server list 

    Verfahren

    Erstellen Sie ein lokales Arbeitsverzeichnis.

    mkdir /ifs/local
cd /ifs/local

    Überprüfen Sie, ob Sie ein vorhandenes Zertifikat erneuern oder ein Zertifikat von Grund auf neu erstellen möchten.

    • Erneuern eines vorhandenen selbstsignierten Zertifikats
    Dadurch wird ein Erneuerungszertifikat erstellt, das auf dem vorhandenen (Bestand) basiert ssl.key. Führen Sie den folgenden Befehl aus, um ein 2-Jahres-Zertifikat zu erstellen: Erhöhen oder verringern Sie den Wert für „-days“, um ein Zertifikat mit einem anderen Ablaufdatum zu erzeugen:
    730 = 2yrs
    1825 = 5yr
    3650 = 10yr 
    cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
    Befolgen Sie die Systemaufforderungen, um den Vorgang für die Erzeugung eines selbstsignierten SSL-Zertifikats abzuschließen, und geben Sie die entsprechenden Informationen zu Ihrem Unternehmen ein.

    Zum Beispiel: 
    Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
    Wenn Sie mit der Eingabe der Informationen fertig sind, wird das Symbol server.csr und server.key Dateien werden im Verzeichnis /ifs/local directory.
    • (Optional) Überprüfen Sie die Integrität und Attribute des Zertifikats:
    openssl x509 -text -noout -in server.crt
    Navigieren Sie nach diesem Schritt zum Abschnitt Hinzufügen des Zertifikats zum Cluster in diesem Artikel.
    • Erzeugen eines Zertifikats und Schlüssels
    In diesem Verfahren wird gezeigt, wie Sie einen neuen privaten Schlüssel und ein neues SSL-Zertifikat erstellen. Führen Sie den folgenden Befehl aus, um eine RSA 2048-bit privater Schlüssel: 
    openssl genrsa -out server.key 2048
    Erstellen Sie eine Zertifikatsignieranforderung: 
    openssl req -new -nodes -key server.key -out server.csr
    Geben Sie die entsprechenden Informationen für Ihr Unternehmen ein. 
    Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
    • (Optional) Erzeugen Sie eine Signieranforderung für eine Zertifizierungsstelle, die „Subject-Alternative-Names“ enthält. Wenn zusätzliches DNS erforderlich ist, kann es durch ein Komma (,) hinzugefügt werden.
    Zum Beispiel: DNS:example.com,DNS:www.example.com 
    openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
    Wenn Sie dazu aufgefordert werden, geben Sie die Informationen ein, die in die Zertifikatanforderung aufgenommen werden sollen. Wenn Sie mit der Eingabe der Informationen fertig sind, wird das Symbol server.csr und server.key Dateien werden im Verzeichnis /ifs/local directory.

    Überprüfen Sie, ob Sie das Zertifikat selbst signieren oder von einer Zertifizierungsstelle (CA) signieren lassen möchten.
    • Selbstsignierung des SSL-Zertifikats
    Um das Zertifikat mit dem Schlüssel selbst zu signieren, führen Sie den folgenden Befehl aus, mit dem ein neues selbstsigniertes Zertifikat erzeugt wird, das 2 Jahre gültig ist: 
    openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
    Stellen Sie sicher, dass der Schlüssel mit dem Zertifikat übereinstimmt. Beide Befehle sollten denselben md5-Wert zurückgeben: 
    openssl x509 -noout -modulus -in server.crt | openssl md5           
openssl rsa -noout -modulus -in server.key | openssl md5
    Navigieren Sie nach diesem Schritt zum Abschnitt Hinzufügen des Zertifikats zum Cluster in diesem Artikel.
    • Signierung des Zertifikats durch eine Zertifizierungsstelle
    Wenn das Zertifikat von einer Zertifizierungsstelle signiert wird, stellen Sie sicher, dass das neue SSL-Zertifikat im x509-Format vorliegt und die gesamte Vertrauenskette des Zertifikats enthält.

    Es ist üblich, dass CAs das neue SSL-Zertifikat, das Zwischenzertifikat und das Stammzertifikat in separaten Dateien zurückgeben.

    Wenn die Zertifizierungsstelle dies getan hat, MÜSSEN Sie das PEM-formatierte Zertifikat manuell erstellen.

    Bei der Erstellung des PEM-formatierten Zertifikats kommt es auf die Reihenfolge an. Ihr Zertifikat muss sich oben in der Datei befinden, gefolgt von den Zwischenzertifikaten und das Stammzertifikat muss sich unten befinden.

    Hier ist ein Beispiel dafür, wie die PEM-formatierte Datei aussieht: 
    -----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
    Eine einfache Möglichkeit, die PEM-formatierte Datei über die CLI zu erstellen, besteht darin, die Dateien zu katen (denken Sie daran, dass die Reihenfolge der Dateien wichtig ist): 
    cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
    Kopieren Sie die Datei onefs_pem_formatted.crt Datei nach /ifs/local directory und benennen Sie es um in server.crt.
     
    Hinweis: Wenn ein .cer empfangen wird, benennen Sie sie in ein .crt Erweiterung.

     

    • (Optional) Überprüfen Sie die Integrität und Attribute des Zertifikats:
    openssl x509 -text -noout -in server.crt

    Fügen Sie das Zertifikat zum Cluster hinzu:

    1. Importieren Sie das neue Zertifikat und den neuen Schlüssel in das System:
    isi certificate server import /ifs/local/server.crt /ifs/local/server.key
    1. Überprüfen Sie, ob das Zertifikat erfolgreich importiert wurde:
    isi certificate server list -v
    1. Legen Sie das importierte Zertifikat als Standard fest:
      isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
      1. Verwenden Sie den folgenden Befehl, um zu bestätigen, dass das importierte Zertifikat als Standard verwendet wird, indem Sie den Status von „Default HTTPS Certificate“ überprüfen:
      isi certificate settings view
      1. Wenn ein nicht verwendetes oder veraltetes Zertifikat vorhanden ist, löschen Sie es mit dem Befehl:
      isi certificate server delete --id=<id_of_cert_to_delete>
      1. Zeigen Sie das neue importierte Zertifikat mit dem folgenden Befehl an:
      isi certificate server view --id=<id_of_cert>

      Überprüfung:

      Es gibt zwei Methoden zur Überprüfung des aktualisierten SSL-Zertifikats.

      • Über einen Webbrowser:
      1. Navigieren Sie zu https://<common name>:8080, wobei <"Common Name"> der Hostname ist, der für den Zugriff auf die Isilon-Webverwaltungsschnittstelle verwendet wird. Zum Beispiel: isilon.example.com
      2. Überprüfen Sie die Sicherheitsdetails für die Webseite. Die Schritte dazu variieren je nach Browser. Bei manchen Browsern klicken Sie hierfür auf das Vorhängeschloss in der Adressleiste.
      3. Überprüfen Sie in den Sicherheitsdetails für die Webseite, ob die Betreffzeile und andere Details korrekt sind. Es wird eine Ausgabe ähnlich der folgenden angezeigt, wobei <Ihr Staat>, <Ihre Stadt> und Ihr Unternehmen> das Bundesland, die Stadt und <der Name Ihrer Organisation sind:
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
      • Über eine Befehlszeile:
      1. Öffnen Sie eine SSH-Verbindung auf einem beliebigen Node im Cluster und melden Sie sich mit dem „root“-Konto an.
      2. Führen Sie den folgenden Befehl aus:
      echo QUIT | openssl s_client -connect localhost:8080
      1. Es wird eine Ausgabe ähnlich der folgenden angezeigt, wobei <Ihr Staat>, <Ihre Stadt> und Ihr Unternehmen> das Bundesland, die Stadt und <der Name Ihrer Organisation sind:
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com

      Additional Information

      Hinweis: Eine Ereigniswarnmeldung wird auch auf Isilon ausgelöst, wie unten dargestellt: 
      SW_CERTIFICATE_EXPIRING: X.509 certificate default is nearing expiration:

Event: 400170001
Certificate 'default' in '**' store is nearing expiration:

      Affected Products

      PowerScale OneFS

      Products

      Isilon
      Article Properties
      Article Number: 000157711
      Article Type: How To
      Last Modified: 17 Sep 2025
      Version:  20
      Find answers to your questions from other Dell users
      Support Services
      Check if your device is covered by Support Services.