PowerScale OneFS: Sostituzione o rinnovo del certificato SSL per Isilon Web Administration

Introduzione

Questo articolo spiega come sostituire o rinnovare il certificato SSL (Secure Sockets Layer) per l'interfaccia di amministrazione web di Isilon. Le seguenti procedure includono opzioni per completare la sostituzione o il rinnovo di un certificato autofirmato o per richiedere una sostituzione o un rinnovo di un certificato SSL a una CA.

Strumenti o competenze richiesti

Per completare questa attività, è necessario disporre dell'URL per l'accesso all'interfaccia di amministrazione web di Isilon. (Negli esempi di questo articolo vengono utilizzati https://isilon.example.com:8080/). È inoltre opportuno essere in grado di eseguire i comandi dalla riga di comando.

Prerequisiti

Informazioni di
riferimentoGli elenchi seguenti includono le posizioni predefinite per server.crt e server.key file. Nelle procedure seguenti, aggiornare i passaggi in modo che corrispondano a queste informazioni per la versione di OneFS installata.

Ottenere l'elenco dei certificati eseguendo il comando riportato di seguito:

isi certificate server list 

Procedura

Creare una directory di lavoro locale.

mkdir /ifs/local
cd /ifs/local

Verificare se si desidera rinnovare un certificato esistente o se si desidera creare un certificato da zero.

• Rinnovare un certificato autofirmato esistente.

cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt

Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com

• (Opzionale) Verificare l'integrità e gli attributi del certificato:

openssl x509 -text -noout -in server.crt

• Creare un certificato e una chiave.

openssl genrsa -out server.key 2048

openssl req -new -nodes -key server.key -out server.csr

Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

• (Opzionale) Generare una CSR per una CA che includa nomi di oggetto alternativi. Se è necessario un DNS aggiuntivo, è possibile aggiungerlo utilizzando una virgola (,)

openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))

• Firmare autonomamente il certificato SSL.

openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt

openssl x509 -noout -modulus -in server.crt | openssl md5           
openssl rsa -noout -modulus -in server.key | openssl md5

• Far firmare il certificato tramite una CA.

-----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----

cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt

• (Opzionale) Verificare l'integrità e gli attributi del certificato:

openssl x509 -text -noout -in server.crt

Aggiungere il certificato al cluster:

1. Importare il nuovo certificato e la nuova chiave nel sistema:

isi certificate server import /ifs/local/server.crt /ifs/local/server.key

2. Verificare che il certificato sia stato importato correttamente:

isi certificate server list -v

3. Impostare il certificato importato come predefinito:

isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>

4. Utilizzare il comando riportato di seguito per verificare che il certificato importato venga utilizzato come predefinito verificando lo stato di "Default HTTPS Certificate":

isi certificate settings view

5. Se è presente un certificato inutilizzato o obsoleto, eliminarlo con il comando:

isi certificate server delete --id=<id_of_cert_to_delete>

6. Visualizzare il nuovo certificato importato con il comando:

isi certificate server view --id=<id_of_cert>

Verifica

Esistono due metodi per verificare il certificato SSL aggiornato.

• Da un web browser:

1. Accedere a https://<common name>:8080, dove <nome> comune è il nome host utilizzato per accedere all'interfaccia di amministrazione web di Isilon. Esempio: isilon.example.com
2. Visualizzare i dettagli di sicurezza per la pagina web. La procedura per eseguire questa operazione varia in base al browser. In alcuni browser, cliccare sull'icona del lucchetto nella barra degli indirizzi per visualizzare i dettagli di sicurezza per la pagina web.
3. Nei dettagli di sicurezza della pagina web, verificare che la riga dell'oggetto e altri dettagli siano corretti. Viene visualizzato un output simile al seguente in cui <yourstate>, <yourcity> e <your company> sono lo stato, la città e il nome dell'organizzazione:

Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com

• Da una riga di comando:

1. Aprire una connessione SSH a qualsiasi nodo nel cluster e accedere utilizzando l'account "root".
2. Eseguire il seguente comando:

echo QUIT | openssl s_client -connect localhost:8080

3. Viene visualizzato un output simile al seguente, dove <yourstate>, <yourcity> e <your company> sono lo stato, la città e il nome dell'organizzazione:

Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com