PowerScale OneFS: Erstatte eller fornye SSL-sertifikatet for Isilon-nettadministrasjon

Summary: Trinn for å fornye eller erstatte SSL-sertifikatet for OneFS-grensesnittet for webadministrasjon.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Merk: Kommandoene i denne artikkelen er BARE ment for bruk med en Isilon-klynge. Den er ikke beregnet for bruk med en ekstern Linux-server.

 

Merk: Isilon fornyer ikke sertifikatet automatisk. Den må fornyes manuelt ved å følge trinnene i denne artikkelen i en Isilon-klynge.

 

Innledning

Denne artikkelen forklarer hvordan du bytter ut eller fornyer SSL-sertifikatet (Secure Sockets Layer) for grensesnittet for webadministrasjon i Isilon. Følgende fremgangsmåter omfatter alternativer for å fullføre en selvsignert sertifikatutskifting eller fornyelse, eller for å be om SSL-erstatning eller fornyelse fra en sertifiseringsinstans (CA).

Nødvendige verktøy eller ferdigheter

For å fullføre denne oppgaven må du ha URL-adressen for å få tilgang til grensesnittet for Isilon-webadministrasjon. (Eksemplene i denne artikkelen bruker https://isilon.example.com:8080/.) Du bør også være komfortabel med å kjøre kommandoer fra kommandolinjen.

 

Forutsetninger

Referanseinformasjon
Følgende lister inkluderer standardplasseringene for server.crt og server.key Filer. I fremgangsmåtene nedenfor må du oppdatere trinnene slik at de samsvarer med denne informasjonen for OneFS-versjonen som er installert.

Hent listen over sertifikater ved å kjøre kommandoen nedenfor:

isi certificate server list 

    Fremgangsmåte

    Opprett en lokal arbeidskatalog.

    mkdir /ifs/local
cd /ifs/local

    Kontroller om du vil fornye et eksisterende sertifikat, eller hvis du vil opprette et sertifikat fra grunnen av.

    • Forny et eksisterende selvsignert sertifikat.
    Dette oppretter et fornyelsessertifikat som er basert på den eksisterende beholdningen (lagerbeholdning) ssl.key. Kjør følgende kommando for å opprette et toårig sertifikat. Øke eller redusere verdien for -dager for å generere et sertifikat med en annen utløpsdato:
    730 = 2yrs
    1825 = 5yr
    3650 = 10yr 
    cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
    Svar på systeminstruksjonene for å fullføre prosessen for å generere et selvsignert SSL-sertifikat, og angi riktig informasjon for organisasjonen.

    For eksempel: 
    Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
    Når du er ferdig med å skrive inn informasjonen, vises server.csr og server.key Filer vises i /ifs/local directory.
    • (Valgfritt) Kontroller integriteten og attributtene til sertifikatet:
    openssl x509 -text -noout -in server.crt
    Gå til Legg til sertifikatet i klyngedelen i denne artikkelen etter dette trinnet.
    • Opprett et sertifikat og en nøkkel.
    Denne fremgangsmåten viser hvordan du oppretter en ny privat nøkkel og SSL-sertifikat. Kjør følgende kommando for å opprette en RSA 2048-bit Privat nøkkel: 
    openssl genrsa -out server.key 2048
    Opprett en forespørsel om sertifikatsignering: 
    openssl req -new -nodes -key server.key -out server.csr
    Angi riktig informasjon for organisasjonen. 
    Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
    • (Valgfritt) Generer en CSR for en sertifiseringsinstans som inkluderer emne-alternative navn. Hvis ytterligere DNS er nødvendig, kan den legges til ved hjelp av komma (,)
    Eksempel: DNS:example.com,DNS:www.example.com 
    openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
    Når du blir bedt om det, skriver du inn informasjonen som skal innlemmes i sertifikatforespørselen. Når du er ferdig med å skrive inn informasjonen, vises server.csr og server.key Filer vises i /ifs/local directory.

    Bekreft om du vil signere sertifikatet selv eller få det signert av en sertifiseringsinstans (CA).
    • Signer SSL-sertifikatet selv.
    Hvis du vil selvsignere sertifikatet med nøkkelen, kjører du kommandoen nedenfor som oppretter et nytt selvsignert sertifikat som er gyldig i 2 år: 
    openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
    Kontroller at nøkkelen samsvarer med sertifikatet, begge kommandoene skal returnere samme md5-verdi: 
    openssl x509 -noout -modulus -in server.crt | openssl md5           
openssl rsa -noout -modulus -in server.key | openssl md5
    Gå til Legg til sertifikatet i klyngedelen i denne artikkelen etter dette trinnet.
    • Få en sertifiseringsinstans til å signere sertifikatet.
    Hvis en sertifiseringsinstans signerer sertifikatet, må du kontrollere at det nye SSL-sertifikatet er i x509-format og inkluderer hele sertifikatklareringskjeden.

    Det er vanlig at CA returnerer det nye SSL-sertifikatet, det mellomliggende sertifikatet og rotsertifikatet i separate filer.

    Hvis sertifiseringsinstansen har gjort dette, du opprette det PEM-formaterte sertifikatet manuelt.

    Rekkefølge er viktig når du oppretter det PEM-formaterte sertifikatet. Sertifikatet må være øverst i filen, etterfulgt av de mellomliggende sertifikatene, og rotsertifikatet må være nederst.

    Her er et eksempel på hvordan den PEM-formaterte filen ser ut: 
    -----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
    En enkel måte å opprette den PEM-formaterte filen på fra CLI er å kategorisere filene (husk at rekkefølgen på filene betyr noe): 
    cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
    Kopier onefs_pem_formatted.crt fil til /ifs/local directory og endre navn på den til server.crt.
     
    Merk: Hvis en .cer filen er mottatt, endre navn på den til en .crt forlengelse.

     

    • (Valgfritt) Kontroller integriteten og attributtene til sertifikatet:
    openssl x509 -text -noout -in server.crt

    Legg til sertifikatet i klyngen:

    1. Importer det nye sertifikatet og nøkkelen inn i systemet:
    isi certificate server import /ifs/local/server.crt /ifs/local/server.key
    1. Kontroller at sertifikatet er importert:
    isi certificate server list -v
    1. Angi det importerte sertifikatet som standard:
      isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
      1. Bruk kommandoen nedenfor for å bekrefte at det importerte sertifikatet brukes som standard ved å bekrefte statusen "Standard HTTPS-sertifikat":
      isi certificate settings view
      1. Hvis det er et ubrukt eller utdatert sertifikat, slett dette med kommandoen:
      isi certificate server delete --id=<id_of_cert_to_delete>
      1. Vis det nye importerte sertifikatet med kommandoen:
      isi certificate server view --id=<id_of_cert>

      Verifisering

      Det finnes to metoder for å verifisere det oppdaterte SSL-sertifikatet.

      • Fra en nettleser:
      1. Bla til https://<common name>:8080, der <vanlig navn> er vertsnavnet som brukes til å få tilgang til Isilon-grensesnittet for webadministrasjon. For eksempel, isilon.example.com
      2. Vis sikkerhetsdetaljene for nettsiden. Fremgangsmåten for å gjøre dette varierer fra nettleser til nettleser. I noen nettlesere klikker du hengelåsikonet på adresselinjen for å vise sikkerhetsdetaljene for nettsiden.
      3. I sikkerhetsdetaljene for nettsiden må du kontrollere at emnelinjen og andre detaljer er riktige. En utdata som ligner på følgende, vises der <delstaten>, <byen> din og <firmaet> er staten, byen og navnet på organisasjonen:
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
      • Fra en kommandolinje:
      1. Åpne en SSH-tilkobling på en hvilken som helst node i klyngen, og logg inn ved hjelp av «rot»-kontoen.
      2. Kjør følgende kommando:
      echo QUIT | openssl s_client -connect localhost:8080
      1. En utdata som ligner på følgende, vises, der <delstaten>, <byen> din og <firmaet> er staten, byen og navnet på organisasjonen:
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com

      Additional Information

      Merk: Hendelsesvarsel utløser også Isilon som vist nedenfor: 
      SW_CERTIFICATE_EXPIRING: X.509 certificate default is nearing expiration:

Event: 400170001
Certificate 'default' in '**' store is nearing expiration:

      Affected Products

      PowerScale OneFS

      Products

      Isilon
      Article Properties
      Article Number: 000157711
      Article Type: How To
      Last Modified: 17 Sep 2025
      Version:  20
      Find answers to your questions from other Dell users
      Support Services
      Check if your device is covered by Support Services.