PowerScale OneFS: Korvaa tai uusi SSL-varmenne Isilon-verkkohallinnalle

Summary: OneFS-hallintakäyttöliittymän SSL-varmenteen uusimisen tai vaihtamisen vaiheet.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Huomautus: Tämän artikkelin komennot on tarkoitettu VAINkäytettäväksi Isilon-klusterin kanssa. Sitä ei ole tarkoitettu käytettäväksi ulkoisen Linux-palvelimen kanssa.

 

Huomautus: Isilon ei uusi varmennetta automaattisesti. Se on uusittava manuaalisesti tämän artikkelin ohjeiden mukaisesti Isilon-klusterissa.

 

Johdanto

Tässä artikkelissa kerrotaan, miten Isilon-hallintakäyttöliittymän SSL (Secure Sockets Layer) -varmenne vaihdetaan tai uusitaan. Seuraavissa menettelyissä on erilaisia vaihtoehtoja itse allekirjoitetun varmenteen korvaamisen tai uusimisen suorittamiseksi tai SSL-kelpoisuuden korvaamiseksi tai uusimiseksi varmenteen myöntäjältä (CA).

Tarvittavat työkalut tai taidot

Jotta voit suorittaa tämän tehtävän, sinulla on oltava URL-osoite, jolla pääset Isilonin verkkohallintakäyttöliittymään. (Tämän artikkelin esimerkeissä käytetään https://isilon.example.com:8080/.) Sinun pitäisi myös olla mukava suorittaa komentoja komentoriviltä.

 

Edellytykset

Viitetiedot
Seuraavat luettelot sisältävät server.crt ja server.key Tiedostot. Päivitä seuraavissa toimenpiteissä vaiheet vastaamaan näitä tietoja asennetun OneFS-version mukaan.

Saat varmenneluettelon suorittamalla seuraavan komennon:

isi certificate server list 

    Toimenpide

    Luo paikallinen työhakemisto.

    mkdir /ifs/local
cd /ifs/local

    Tarkista, haluatko uusia olemassa olevan varmenteen vai haluatko luoda varmenteen alusta alkaen.

    • Olemassa olevan itse allekirjoitetun varmenteen uusiminen.
    Tämä luo uusimisvarmenteen, joka perustuu olemassa olevaan (varastoon) ssl.key. Luo kahden vuoden varmenne suorittamalla seuraava komento. Lisää tai pienennä -days-arvoa, jos haluat luoda varmenteen, jolla on eri vanhentumispäivämäärä:
    730 = 2yrs
    1825 = 5yr
    3650 = 10yr 
    cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
    Vastaa järjestelmäkehotteisiin ja luo itse allekirjoitettu SSL-varmenne ja anna organisaatiollesi tarvittavat tiedot.

    Esimerkiksi: 
    Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
    Kun olet syöttänyt tiedot, server.csr ja server.key Tiedostot näkyvät /ifs/local directory.
    • (Valinnainen) Tarkista varmenteen eheys ja ominaisuudet:
    openssl x509 -text -noout -in server.crt
    Siirry tämän vaiheen jälkeen kohtaan Varmenteen lisääminen klusteriin -osa.
    • Luo varmenne ja avain.
    Tässä kerrotaan, miten uusi yksityinen avain ja SSL-varmenne luodaan. Luo seuraavalla komennolla RSA 2048-bit yksityinen avain: 
    openssl genrsa -out server.key 2048
    Luo varmenteen allekirjoituspyyntö: 
    openssl req -new -nodes -key server.key -out server.csr
    Anna organisaatiotasi varten tarvittavat tiedot. 
    Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
    • (Valinnainen) Luo varmenteen myöntäjälle CSR, joka sisältää Subject-Alternative-Names. Jos tarvitaan lisää DNS:ää, se voidaan lisätä pilkulla (,)
    Esimerkki: DNS:example.com,DNS:www.example.com 
    openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
    Kirjoita pyydettäessä varmennepyyntöön sisällytettävät tiedot. Kun olet syöttänyt tiedot, server.csr ja server.key Tiedostot näkyvät /ifs/local directory.

    Tarkista, haluatko allekirjoittaa varmenteen itse vai pyytää varmenteen myöntäjää (CA) allekirjoittamaan sen.
    • Allekirjoita SSL-varmenne itse.
    Voit allekirjoittaa varmenteen itse suorittamalla seuraavan komennon, joka luo uuden itse allekirjoitetun varmenteen, joka on voimassa 2 vuotta: 
    openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
    Varmista, että avain vastaa varmennetta. Molempien komentojen pitäisi palauttaa sama md5-arvo: 
    openssl x509 -noout -modulus -in server.crt | openssl md5           
openssl rsa -noout -modulus -in server.key | openssl md5
    Siirry tämän vaiheen jälkeen kohtaan Varmenteen lisääminen klusteriin -osa.
    • Hanki varmenteiden myöntäjä, jotta voit allekirjoittaa varmenteen.
    Jos varmenteiden myöntäjä allekirjoittaa varmenteen, varmista, että uusi SSL-varmenne on x509-muodossa ja sisältää koko varmenteen luottamusketjun.

    On tavallista, että CA palauttaa uuden SSL-varmenteen, välivarmenteen ja juurivarmenteen erillisinä tiedostoina.

    Jos varmenteiden myöntäjä on tehnyt tämän, sinun TÄYTYY luoda PEM-muotoinen varmenne manuaalisesti.

    Tilauksella on merkitystä PEM-muotoista varmennetta luotaessa. Varmenteen on oltava tiedoston yläosassa, sen jälkeen välivarmenteiden ja päävarmenteen alareunassa.

    Tässä on esimerkki siitä, miltä PEM-muotoinen tiedosto näyttää: 
    -----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
    Helppo tapa luoda PEM-muotoinen tiedosto komentoriviliittymässä on käsitellä tiedostot (muista, että tiedostojen järjestyksellä on merkitystä): 
    cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
    Kopioi onefs_pem_formatted.crt tiedosto osoitteeseen /ifs/local directory ja nimeä se uudelleen server.crt.
     
    Huomautus: If a .cer tiedosto vastaanotetaan, nimeä se uudelleen nimellä a .crt laajennus.

     

    • (Valinnainen) Tarkista varmenteen eheys ja ominaisuudet:
    openssl x509 -text -noout -in server.crt

    Lisää varmenne klusteriin:

    1. Tuo uusi varmenne ja avain järjestelmään:
    isi certificate server import /ifs/local/server.crt /ifs/local/server.key
    1. Varmista, että varmenteen tuonti onnistui:
    isi certificate server list -v
    1. Aseta tuotu varmenne oletukseksi:
      isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
      1. Varmista alla olevalla komennolla, että tuotua varmennetta käytetään oletuksena, tarkistamalla Default HTTPS Certificate -tila:
      isi certificate settings view
      1. Jos varmenne on käyttämätön tai vanhentunut, poista se komennolla
      isi certificate server delete --id=<id_of_cert_to_delete>
      1. Tarkastele uutta tuotua varmennetta komennolla
      isi certificate server view --id=<id_of_cert>

      Vahvistus

      Päivitetty SSL-varmenne voidaan tarkistaa kahdella tavalla.

      • Verkkoselaimella:
      1. Siirry kohtaan https://<common name>:8080, jossa <yleisnimi> on isäntänimi, jolla Isilon-hallintaliittymää käytetään. Esimerkki: isilon.example.com
      2. Tarkastele verkkosivun suojaustietoja. Tämän tekemisen vaiheet vaihtelevat selaimen mukaan. Napsauta joissakin selaimissa osoiterivin riippulukkokuvaketta nähdäksesi verkkosivun suojaustiedot.
      3. Varmista verkkosivun suojaustiedoista, että aiherivi ja muut tiedot ovat oikein. Näyttöön tulee seuraavankaltainen tulos, jossa <oma osavaltiosi>, <kaupunkisi> ja <yrityksesi> ovat organisaatiosi osavaltio, kaupunki ja nimi:
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
      • Komentorivillä:
      1. Avaa SSH-yhteys johonkin klusterin solmuun ja kirjaudu sisään root-tilillä.
      2. Suorita seuraava komento:
      echo QUIT | openssl s_client -connect localhost:8080
      1. Näyttöön tulee seuraavankaltainen tulos, jossa <oma osavaltio<>, kaupunki> ja <yrityksesi> ovat organisaatiosi osavaltio, kaupunki ja nimi:
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com

      Additional Information

      Huomautus: Tapahtumahälytys käynnistyy myös Isilonissa alla kuvatulla tavalla: 
      SW_CERTIFICATE_EXPIRING: X.509 certificate default is nearing expiration:

Event: 400170001
Certificate 'default' in '**' store is nearing expiration:

      Affected Products

      PowerScale OneFS

      Products

      Isilon
      Article Properties
      Article Number: 000157711
      Article Type: How To
      Last Modified: 17 Sep 2025
      Version:  20
      Find answers to your questions from other Dell users
      Support Services
      Check if your device is covered by Support Services.