PowerScale OneFS:Isilon Web管理用のSSL証明書の交換または更新

Summary: OneFS Web管理インターフェイスのSSL証明書を更新または置き換える手順。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

注:この記事のコマンドは、Isilonクラスターでのみ使用することを目的としています。外部Linuxサーバーでの使用は意図されていません。

 

注:Isilonは証明書を自動更新しません。Isilon Clusterでこの記事の手順に従って、手動で更新する必要があります。

 

概要

この記事では、Isilon Web管理インターフェイスのSecure Sockets Layer (SSL)証明書を交換する方法または更新する方法について説明します。次の手順には、自己署名証明書の交換または更新を実施するオプション、または認証局(CA)からSSLの交換または更新をリクエストするオプションが含まれます。

必要なツールまたはスキル

このタスクを完了するには、Isilon Web管理インターフェイスにアクセスするためのURLが必要です。(この記事の例では、 https://isilon.example.com:8080/)。また、コマンド ラインでコマンドを実行することもできます。

 

前提条件

参考情報
次のリストに、 server.crtserver.key ファイル。次の手順では、インストールされているOneFSバージョンの情報と一致するように、手順が更新されています。

次のコマンドを実行して、証明書のリストを取得します。

isi certificate server list 

    手順

    ローカルの作業ディレクトリーを作成します。

    mkdir /ifs/local
cd /ifs/local

    既存の証明書を更新するか、証明書を最初から作成するかを確認します。

    • 既存の自己署名証明書を更新します。
    これにより、既存の(ストック)に基づいて更新証明書が作成されます ssl.keyの詳細を確認してください。次のコマンドを実行して、2年間の証明書を作成します。有効期限が異なる証明書を生成するには、-daysの値を増減します。
    730 = 2yrs
    1825 = 5yr
    3650 = 10yr 
    cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
    所属する組織の適切な情報を入力して、システム プロンプトに従って自己署名SSL証明書を生成します。

    例: 
    Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
    情報の入力が終了すると、 server.csrserver.key ファイルは、 /ifs/local directoryの詳細を確認してください。
    • (オプション)証明書の整合性と属性を検証します。
    openssl x509 -text -noout -in server.crt
    この手順の後、この記事の 「クラスターに証明書を追加する 」セクションに進みます。
    • 証明書およびキーの作成。
    この手順では、新しいプライベート キーとSSL証明書を作成する方法について説明します。次のコマンドを実行して、 RSA 2048-bit プライベート キー: 
    openssl genrsa -out server.key 2048
    証明書署名リクエストの作成: 
    openssl req -new -nodes -key server.key -out server.csr
    所属する組織の適切な情報を入力します。 
    Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
    • (オプション)サブジェクト代替名を含めて認証局のCSRを生成します。追加のDNSが必要な場合は、コンマ(,)を使用して追加できます
    例: DNS:example.com,DNS:www.example.com 
    openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
    プロンプトが表示されたら、証明書リクエストに組み込む情報を入力します。情報の入力が終了すると、 server.csrserver.key ファイルは、 /ifs/local directoryの詳細を確認してください。

    証明書に自己署名するか、認証局(CA)に署名させるかを確認します。
    • SSL証明書を自己署名する。
    キーを使用して証明書に自己署名する場合は、次のコマンドを実行して、2年間有効な新しい自己署名証明書を作成します。 
    openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
    キーと証明書が一致していることを確認します。両方のコマンドが同じmd5値を返す必要があります。 
    openssl x509 -noout -modulus -in server.crt | openssl md5           
openssl rsa -noout -modulus -in server.key | openssl md5
    この手順の後、この記事の 「クラスターに証明書を追加する 」セクションに進みます。
    • 証明書の署名をCAに実行させる。
    CAが証明書に署名している場合は、新しいSSL証明書がx509形式であり、証明書トラスト チェーン全体が含まれていることを確認します

    CAでは、新しいSSL証明書、中間証明書、ルート証明書を別々のファイルで返すのが一般的です

    CAがこれを行った場合は、PEM形式の証明書を手動で作成 する必要があります

    PEM形式の証明書を作成する場合は、順序が重要になります。証明書はファイルの一番上、中間証明書、ルート証明書の順にする必要があります。

    PEM形式のファイルの例を次に示します。 
    -----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
    CLIからPEM形式のファイルを作成する簡単な方法は、ファイルをcatすることです(ファイルの順序が重要であることに注意してください)。 
    cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
    をコピーします。 onefs_pem_formatted.crt ファイルを /ifs/local directory 名前を server.crtの詳細を確認してください。
     
    注:If a .cer ファイルを受信したら、名前を .crt 延長。

     

    • (オプション)証明書の整合性と属性を検証します。
    openssl x509 -text -noout -in server.crt

    証明書をクラスターに追加します。

    1. 新しい証明書とキーをシステムにインポートします。
    isi certificate server import /ifs/local/server.crt /ifs/local/server.key
    1. 証明書が正常にインポートされたことを確認します。
    isi certificate server list -v
    1. インポートされた証明書をデフォルトとして設定します。
      isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
      1. 次のコマンドを使用して、「デフォルトHTTPS証明書」のステータスを確認して、インポートされた証明書がデフォルトとして使用されていることを確認します。
      isi certificate settings view
      1. 未使用または古い証明書がある場合は、次のコマンドを使用して削除します。
      isi certificate server delete --id=<id_of_cert_to_delete>
      1. 次のコマンドを使用して、新しくインポートされた証明書を表示します。
      isi certificate server view --id=<id_of_cert>

      確認

      更新されたSSL証明書を確認する場合、2つの方法があります。

      • Webブラウザーから:
      1. 参照先 https://<common name>:8080ここで <共通名> は、Isilon Web管理インターフェイスへのアクセスに使用されるホスト名です。例 isilon.example.com
      2. Webページのセキュリティ詳細を表示します。これを行う手順はブラウザーによって異なります。一部のブラウザーでは、アドレス バーにある南京錠のアイコンをクリックして、Webページのセキュリティ詳細を表示します。
      3. Webページのセキュリティ詳細で、件名およびその他の詳細が正しいことを確認します。組織の都道府県><市区町村>、<<会社>が都道府県、市区町村、および組織の名前である場合、次のような出力が表示されます。
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
      • コマンド ラインから:
      1. クラスター内の任意のノードでSSH接続を開き、「root」アカウントを使用してログインします。
      2. 次のコマンドを実行します。
      echo QUIT | openssl s_client -connect localhost:8080
      1. 次のような出力が表示されます。この場合、 <yourstate>、 <yourcity>、および <your company> は、組織の都道府県、市区町村、および組織名です。
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com

      Additional Information

      注:イベント アラートは、次に示すようにIsilonでもトリガーされます。 
      SW_CERTIFICATE_EXPIRING: X.509 certificate default is nearing expiration:

Event: 400170001
Certificate 'default' in '**' store is nearing expiration:

      Videos

       

      Affected Products

      PowerScale OneFS

      Products

      Isilon
      Article Properties
      Article Number: 000157711
      Article Type: How To
      Last Modified: 17 Sep 2025
      Version:  20
      Find answers to your questions from other Dell users
      Support Services
      Check if your device is covered by Support Services.