PowerScale OneFS : Remplacer ou renouveler le certificat SSL pour l’administration Web d’Isilon
Summary: Étapes de renouvellement ou de remplacement du certificat SSL pour l’interface d’administration Web OneFS.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Remarque : Les commandes de cet article sont destinées UNIQUEMENT à être utilisées avec un cluster Isilon. Il n’est pas destiné à être utilisé avec un serveur Linux externe.
Remarque : Isilon ne renouvelle pas automatiquement le certificat. Il doit être renouvelé manuellement en suivant les étapes décrites dans cet article dans un cluster Isilon.
Introduction
Cet article explique comment remplacer ou renouveler le certificat SSL (Secure Sockets Layer) pour l’interface d’administration Web Isilon. Les procédures suivantes incluent des options permettant d’effectuer un remplacement ou un renouvellement de certificat auto-signé, ou de demander un remplacement ou un renouvellement SSL auprès d’une autorité de certification (CA).
Outils ou compétences requis
Pour effectuer cette tâche, vous devez disposer de l’URL permettant d’accéder à l’interface d’administration Web Isilon. (Les exemples donnés dans cet article utilisent https://isilon.example.com:8080/.) Vous devez également être à l’aise avec l’exécution de commandes depuis l’interface de ligne de commande.
Prérequis
Informations de
référenceLes listes suivantes incluent les emplacements par défaut du server.crt et server.key Fichiers. Dans les procédures qui suivent, mettez à jour les étapes de telle sorte qu’elles correspondent à ces informations pour la version de OneFS installée.
Obtenez la liste des certificats en exécutant la commande ci-dessous :
isi certificate server list
Procédure
Créez un répertoire de travail local.
mkdir /ifs/local cd /ifs/local
Vérifiez si vous souhaitez renouveler un certificat existant ou si vous souhaitez créer un certificat à partir de zéro.
- Renouveler un certificat auto-signé existant.
Cela crée un certificat de renouvellement basé sur l’existant (stock)
ssl.key. Exécutez la commande suivante pour créer un certificat de deux ans : Augmentez ou diminuez la valeur de -days afin de générer un certificat avec une date d’expiration différente :
730 = 2yrs
1825 = 5yr
3650 = 10yr
cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
Répondez aux invites du système de façon à terminer le processus de génération d’un certificat SSL auto-signé, en saisissant les informations adéquates selon votre organisation.
Par exemple :
Par exemple :
Country Name (2 letter code) [AU]:US State or Province Name (full name) [Some-State]:Washington Locality Name (eg, city) []:Seattle Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon Organizational Unit Name (eg, section) []:Support Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com Email Address []:support@example.com
Une fois la saisie des informations terminée, le
server.csr et server.key fichiers apparaissent dans le répertoire /ifs/local directory.
- (Facultatif) Vérifiez l’intégrité et les attributs du certificat :
openssl x509 -text -noout -in server.crt
Reportez-vous à la section Ajouter le certificat au cluster de cet article après cette étape.
- Créer un certificat et une clé.
Cette procédure montre comment créer une nouvelle clé privée et un nouveau certificat SSL. Exécutez la commande suivante pour créer un
RSA 2048-bit Clé privée :
openssl genrsa -out server.key 2048
Créez une demande de signature de certificat :
openssl req -new -nodes -key server.key -out server.csr
Saisissez les informations appropriées pour votre organisation.
Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []: Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
- (Facultatif) Générez une CSR à destination d’une autorité de certification incluant des noms alternatifs d’objet. Si un DNS supplémentaire est nécessaire, il peut être ajouté en utilisant une virgule (,)
Par exemple :
DNS:example.com,DNS:www.example.com
openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
À l’invite, saisissez les informations à intégrer dans la demande de certificat. Une fois la saisie des informations terminée, le
server.csr et server.key fichiers apparaissent dans le répertoire /ifs/local directory.
Vérifiez si vous souhaitez auto-signer le certificat ou le faire signer par une autorité de certification (AC).
- Auto-signer le certificat SSL.
Pour auto-signer le certificat avec la clé, exécutez la commande ci-dessous, qui a pour effet de créer un nouveau certificat auto-signé valide pendant une durée de 2 ans :
openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
Vérifiez que la clé correspond au certificat. Les deux commandes doivent renvoyer la même valeur md5 :
openssl x509 -noout -modulus -in server.crt | openssl md5 openssl rsa -noout -modulus -in server.key | openssl md5
Reportez-vous à la section Ajouter le certificat au cluster de cet article après cette étape.
- Demander à une autorité de certification de signer le certificat.
Si une autorité de certification signe le certificat, assurez-vous que le nouveau certificat SSL est au format x509 et inclut l’ensemble de la chaîne d’approbation du certificat.
Il est courant que l’autorité de certification renvoie le nouveau certificat SSL, le certificat intermédiaire et le certificat racine dans des fichiers distincts.
Si l’autorité de certification l’a fait, vous DEVEZ créer manuellement le certificat au format PEM.
L’ordre est important lors de la création du certificat au format PEM. Votre certificat doit se trouver en haut du fichier, suivi des certificats intermédiaires, et le certificat racine doit se trouver en bas.
Voici un exemple de ce à quoi ressemble le fichier au format PEM :
Il est courant que l’autorité de certification renvoie le nouveau certificat SSL, le certificat intermédiaire et le certificat racine dans des fichiers distincts.
Si l’autorité de certification l’a fait, vous DEVEZ créer manuellement le certificat au format PEM.
L’ordre est important lors de la création du certificat au format PEM. Votre certificat doit se trouver en haut du fichier, suivi des certificats intermédiaires, et le certificat racine doit se trouver en bas.
Voici un exemple de ce à quoi ressemble le fichier au format PEM :
-----BEGIN CERTIFICATE----- <The contents of your new TLS certificate> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <The contents of the intermediate certificate> <Repeat as necessary for every intermediate certificate provided by your CA> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <The contents of the root certificate file> -----END CERTIFICATE-----
Un moyen simple de créer le fichier au format PEM à partir de l’interface de ligne de commande consiste à catégoriser les fichiers (n’oubliez pas que l’ordre des fichiers est important) :
cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
Copiez le fichier
onefs_pem_formatted.crt dans /ifs/local directory et renommez-le en server.crt.
Remarque : Si une
.cer fichier reçu, renommez-le en un fichier .crt extension.
- (Facultatif) Vérifiez l’intégrité et les attributs du certificat :
openssl x509 -text -noout -in server.crt
Ajoutez le certificat au cluster :
- Importez le nouveau certificat et la nouvelle clé dans le système :
isi certificate server import /ifs/local/server.crt /ifs/local/server.key
- Vérifiez que le certificat a bien été importé :
isi certificate server list -v
- Définissez le certificat importé comme certificat par défaut :
isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
- Utilisez la commande ci-dessous pour confirmer que le certificat importé est utilisé comme certificat par défaut en vérifiant que l’état indique « Default HTTPS Certificate » :
isi certificate settings view
- S’il existe un certificat inutilisé ou obsolète, supprimez-le à l’aide de la commande :
isi certificate server delete --id=<id_of_cert_to_delete>
- Affichez le nouveau certificat importé à l’aide de la commande suivante :
isi certificate server view --id=<id_of_cert>
Vérification
Il existe deux méthodes permettant de vérifier le certificat SSL mis à jour.
- À partir d’un navigateur Web :
- Accédez à
https://<common name>:8080, où <le nom> commun est le nom d’hôte utilisé pour accéder à l’interface d’administration Web Isilon. Par exemple :isilon.example.com - Affichez les détails de sécurité de la page Web. Les étapes à suivre varient selon le navigateur. Dans certains navigateurs, cliquez sur l’icône de cadenas dans la barre d’adresse pour afficher les détails de sécurité de la page Web.
- Dans les détails de sécurité de la page Web, vérifiez que la ligne d’objet et les autres détails sont corrects. Un résultat similaire à ce qui suit s’affiche où <votreétat>, <votreville> et <votre entreprise> sont l’état, la ville et le nom de votre organisation :
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
- À partir d’une ligne de commande :
- Ouvrez une connexion SSH sur n’importe quel nœud du cluster et connectez-vous à l’aide du compte « root ».
- Exécutez la commande suivante :
echo QUIT | openssl s_client -connect localhost:8080
- Un résultat similaire à ce qui suit s’affiche, où <votre état>, <votre ville> et <votre entreprise> sont l’état, la ville et le nom de votre organisation :
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
Additional Information
Remarque : Une alerte d’événement se déclenche également sur Isilon, comme indiqué ci-dessous :
SW_CERTIFICATE_EXPIRING: X.509 certificate default is nearing expiration: Event: 400170001 Certificate 'default' in '**' store is nearing expiration:
Affected Products
PowerScale OneFSProducts
IsilonArticle Properties
Article Number: 000157711
Article Type: How To
Last Modified: 17 Sep 2025
Version: 20
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.