PowerScale OneFS: Het SSL-certificaat voor de Isilon Web Administration vervangen of vernieuwen

Summary: Stappen voor het vernieuwen of vervangen van het SSL-certificaat voor de OneFS-webbeheerinterface.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Opmerking: De opdrachten in dit artikel zijn ALLEEN bedoeld voor gebruik met een Isilon cluster. Het is niet bedoeld voor gebruik met een externe Linux-server.

 

Opmerking: Isilon vernieuwt het certificaat niet automatisch. Het moet handmatig worden verlengd door de stappen in dit artikel te volgen in een Isilon-cluster.

 

Inleiding

In dit artikel wordt uitgelegd hoe u het SSL-certificaat (Secure Sockets Layer) voor de Isilon-webbeheerinterface kunt vervangen of vernieuwen. De volgende procedures omvatten opties voor het vervangen of vernieuwen van een zelfondertekend certificaat, of het aanvragen van een SSL-vervanging of -verlenging bij een certificeringsinstantie (CA).

Vereiste tools of vaardigheden

Om deze taak te voltooien, moet u de URL hebben voor toegang tot de Isilon-webbeheerinterface. (De voorbeelden in dit artikel gebruiken https://isilon.example.com:8080/.) U moet zich ook op uw gemak voelen bij het uitvoeren van opdrachten vanaf de opdrachtregel.

 

Vereisten

Referentie-informatie
De volgende lijsten bevatten de standaardlocaties voor de server.crt als server.key archief. Werk in de volgende procedures de stappen bij zodat deze overeenkomen met deze informatie voor de versie van OneFS die is geïnstalleerd.

Verkrijg de lijst met certificaten door de onderstaande opdracht uit te voeren:

isi certificate server list 

    Procedure

    Maak een lokale werkmap.

    mkdir /ifs/local
cd /ifs/local

    Controleer of u een bestaand certificaat wilt vernieuwen of dat u een geheel nieuw certificaat wilt maken.

    • Een bestaand zelfondertekend certificaat vernieuwen.
    Hierdoor ontstaat een verlengingscertificaat dat gebaseerd is op de bestaande (voorraad) ssl.key. Voer de volgende opdracht uit om een certificaat voor twee jaar te maken. Verhoog of verlaag de waarde voor -days om een certificaat met een andere vervaldatum te genereren:
    730 = 2yrs
    1825 = 5yr
    3650 = 10yr 
    cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
    Beantwoord de systeemprompts om het proces voor het genereren van een zelfondertekend SSL-certificaat te voltooien en voer de juiste informatie voor uw organisatie in.

    Bijvoorbeeld: 
    Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
    Wanneer u klaar bent met het invoeren van de informatie, wordt de server.csr als server.key bestanden worden weergegeven in het /ifs/local directory.
    • (Optioneel) Controleer de integriteit en kenmerken van het certificaat:
    openssl x509 -text -noout -in server.crt
    Ga na deze stap naar het gedeelte Het certificaat toevoegen aan het cluster van dit artikel.
    • Maak een certificaat en sleutel.
    In deze procedure ziet u hoe u een nieuwe persoonlijke sleutel en een nieuw SSL-certificaat maakt. Voer de volgende opdracht uit om een RSA 2048-bit Private Key: 
    openssl genrsa -out server.key 2048
    Een aanvraag voor certificaatondertekening maken: 
    openssl req -new -nodes -key server.key -out server.csr
    Voer de juiste informatie in voor uw organisatie. 
    Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
    • (Optioneel) Genereer een CSR voor een certificeringsinstantie met Subject-Alternative-Names. Als er extra DNS nodig is, kan deze worden toegevoegd met een komma (,)
    Bijvoorbeeld: DNS:example.com,DNS:www.example.com 
    openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
    Typ desgevraagd de informatie die in de certificaataanvraag moet worden opgenomen. Wanneer u klaar bent met het invoeren van de informatie, wordt de server.csr als server.key bestanden worden weergegeven in het /ifs/local directory.

    Controleer of u het certificaat zelf of door een certificeringsinstantie (CA) wilt laten ondertekenen.
    • Onderteken zelf het SSL-certificaat.
    Als u het certificaat zelf wilt ondertekenen met de sleutel, voert u de onderstaande opdracht uit waardoor een nieuw zelfondertekend certificaat wordt gemaakt dat 2 jaar geldig is: 
    openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
    Controleer of de sleutel overeenkomt met het certificaat. Beide opdrachten moeten dezelfde md5-waarde retourneren: 
    openssl x509 -noout -modulus -in server.crt | openssl md5           
openssl rsa -noout -modulus -in server.key | openssl md5
    Ga na deze stap naar het gedeelte Het certificaat toevoegen aan het cluster van dit artikel.
    • Laat een CA het certificaat ondertekenen.
    Als een CA het certificaat ondertekent, moet u ervoor zorgen dat het nieuwe SSL-certificaat de indeling x509 heeft en de volledige vertrouwensketen van het certificaat omvat.

    Het is gebruikelijk dat CA het nieuwe SSL-certificaat, het tussenliggende certificaat en het basiscertificaat in afzonderlijke bestanden retourneert.

    Als de CA dit heeft gedaan, MOET u het PEM-geformatteerde certificaat handmatig maken.

    Volgorde is van belang bij het maken van het PEM-geformatteerde certificaat. Uw certificaat moet bovenaan het bestand staan, gevolgd door de tussenliggende certificaten, en het basiscertificaat moet onderaan staan.

    Hier volgt een voorbeeld van hoe het PEM-geformatteerde bestand eruit ziet: 
    -----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
    Een eenvoudige manier om het PEM-geformatteerde bestand vanuit de CLI te maken, is door de bestanden te caten (onthoud dat de volgorde van de bestanden van belang is): 
    cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
    Kopieer de onefs_pem_formatted.crt Bestand naar /ifs/local directory en wijzig de naam in server.crt.
     
    Opmerking: Als een .cer bestand is ontvangen, wijzigt u de naam in een .crt extensie.

     

    • (Optioneel) Controleer de integriteit en kenmerken van het certificaat:
    openssl x509 -text -noout -in server.crt

    Voeg het certificaat toe aan het cluster:

    1. Importeer het nieuwe certificaat en de nieuwe sleutel in het systeem:
    isi certificate server import /ifs/local/server.crt /ifs/local/server.key
    1. Controleer of het certificaat is geïmporteerd:
    isi certificate server list -v
    1. Stel het geïmporteerde certificaat in als standaard:
      isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
      1. Gebruik de onderstaande opdracht om te bevestigen dat het geïmporteerde certificaat als standaard wordt gebruikt door de status van "Default HTTPS Certificate" te controleren:
      isi certificate settings view
      1. Als er een ongebruikt of verouderd certificaat is, verwijdert u dit met de opdracht:
      isi certificate server delete --id=<id_of_cert_to_delete>
      1. Bekijk het nieuw geïmporteerde certificaat met de opdracht:
      isi certificate server view --id=<id_of_cert>

      Controle

      Er zijn twee methoden om het bijgewerkte SSL-certificaat te verifiëren.

      • In een webbrowser:
      1. Blader naar https://<common name>:8080, waarbij <de algemene naam> de hostnaam is die wordt gebruikt om toegang te krijgen tot de Isilon-webbeheerinterface. Bijvoorbeeld, isilon.example.com
      2. Bekijk de beveiligingsgegevens voor de webpagina. De stappen om dit te doen verschillen per browser. In sommige browsers klikt u op het hangslotpictogram in de adresbalk om de beveiligingsgegevens voor de webpagina weer te geven.
      3. Controleer in de beveiligingsgegevens voor de webpagina of de onderwerpregel en andere gegevens correct zijn. Een uitvoer die vergelijkbaar is met het volgende wordt weergegeven, waarbij <uwstaat>, <uwstad> en <uw bedrijf> de staat, plaats en naam van uw organisatie zijn:
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
      • Via een opdrachtregel:
      1. Open een SSH-verbinding op een knooppunt in het cluster en meld u aan met het hoofdaccount ("root").
      2. Voer de volgende opdracht uit:
      echo QUIT | openssl s_client -connect localhost:8080
      1. Er wordt een uitvoer weergegeven die vergelijkbaar is met het volgende, waarbij <uwstaat>, <uwstad> en <uw bedrijf> de staat, plaats en naam van uw organisatie zijn:
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com

      Additional Information

      Opmerking: Event alert wordt ook geactiveerd op Isilon, zoals hieronder te zien is: 
      SW_CERTIFICATE_EXPIRING: X.509 certificate default is nearing expiration:

Event: 400170001
Certificate 'default' in '**' store is nearing expiration:

      Affected Products

      PowerScale OneFS

      Products

      Isilon
      Article Properties
      Article Number: 000157711
      Article Type: How To
      Last Modified: 17 Sep 2025
      Version:  20
      Find answers to your questions from other Dell users
      Support Services
      Check if your device is covered by Support Services.