PowerScale OneFS: Zastąp lub odnów certyfikat SSL dla administracji sieciowej Isilon

Summary: Etapy odnawiania lub zastępowania certyfikatu SSL dla sieciowego interfejsu administracyjnego OneFS.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Uwaga: Polecenia zawarte w tym artykule są przeznaczone TYLKO do użytku z klastrem Isilon. Nie jest on przeznaczony do użytku z zewnętrznym serwerem Linux.

 

Uwaga: Isilon nie odnawia certyfikatu automatycznie. Należy ją odnowić ręcznie, wykonując czynności opisane w tym artykule w klastrze Isilon.

 

Wprowadzenie

W tym artykule wyjaśniono, jak wymienić lub odnowić certyfikat Secure Sockets Layer (SSL) dla sieciowego interfejsu administracyjnego Isilon. Poniższe procedury obejmują opcje wymiany lub odnowienia certyfikatu z podpisem własnym, lub wniosku o certyfikat SSL z instytucji certyfikującej (CA).

Wymagane narzędzia lub umiejętności

Aby wykonać to zadanie, musisz mieć adres URL umożliwiający dostęp do sieciowego interfejsu administracyjnego Isilon. (W przykładach w tym artykule wykorzystano https://isilon.example.com:8080/). Użytkownik powinien również umieć swobodnie korzystać z wiersza poleceń.

 

Wymagania wstępne

Informacje
referencyjneNa poniższych listach przedstawiono domyślne lokalizacje server.crt i server.key Pliki. Spośród poniższych procedur wybierz te, które odpowiadają zainstalowanej wersji OneFS.

Uzyskaj listę certyfikatów, uruchamiając poniższe polecenie:

isi certificate server list 

    Procedura

    Utwórz lokalny katalog roboczy.

    mkdir /ifs/local
cd /ifs/local

    Sprawdź, czy chcesz odnowić istniejący certyfikat, czy też chcesz utworzyć certyfikat od podstaw.

    • Odnawianie istniejących certyfikatów z podpisem własnym
    Spowoduje to utworzenie certyfikatu odnowienia, który jest oparty na istniejącym (magazynie) ssl.key. Uruchom następujące polecenie, aby utworzyć certyfikat ważny przez dwa lata. Zwiększ lub zmniejsz wartość dla modyfikatora „-days”, aby wygenerować certyfikat z inną datą wygaśnięcia:
    730 = 2yrs
    1825 = 5yr
    3650 = 10yr 
    cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
    Odpowiedz na monity systemowe, wprowadzając odpowiednie informacje dla organizacji, aby ukończyć proces generowania certyfikatu SSL z podpisem własnym.

    Na przykład: 
    Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
    Po zakończeniu wprowadzania informacji server.csr i server.key pliki pojawią się w oknie /ifs/local directory.
    • (Opcjonalnie) Zweryfikuj integralności i atrybuty certyfikatu:
    openssl x509 -text -noout -in server.crt
    Po wykonaniu tego kroku przejdź do sekcji Dodawanie certyfikatu do klastra w tym artykule.
    • Tworzenie certyfikatu i klucza
    W tej procedurze pokazano, jak utworzyć nowy klucz prywatny i certyfikat SSL. Uruchom następujące polecenie, aby utworzyć RSA 2048-bit Klucz prywatny: 
    openssl genrsa -out server.key 2048
    Utwórz żądanie podpisania certyfikatu: 
    openssl req -new -nodes -key server.key -out server.csr
    Podaj odpowiednie informacje dotyczące Twojej organizacji. 
    Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
    • (Opcjonalnie) Wygeneruj CSR dla instytucji certyfikującej, która zawiera nazwy podmiotów alternatywnych. Jeśli potrzebny jest dodatkowy serwer DNS, można go dodać, używając przecinka (,)
    Na przykład: DNS:example.com,DNS:www.example.com 
    openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
    Po wyświetleniu monitu wpisz informacje, które mają być włączone do żądania certyfikatu. Po zakończeniu wprowadzania informacji server.csr i server.key pliki pojawią się w oknie /ifs/local directory.

    Sprawdź, czy chcesz podpisać certyfikat samodzielnie, czy też chcesz go podpisać przez urząd certyfikacji (CA).
    • Certyfikat SSL z podpisem własnym
    Aby samodzielnie podpisać certyfikat kluczem, uruchom poniższe polecenie, które tworzy nowy certyfikat z podpisem własnym ważny przez 2 lata: 
    openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
    Sprawdź, czy klucz jest zgodny z certyfikatem. Oba polecenia powinny zwrócić tę samą wartość md5: 
    openssl x509 -noout -modulus -in server.crt | openssl md5           
openssl rsa -noout -modulus -in server.key | openssl md5
    Po wykonaniu tego kroku przejdź do sekcji Dodawanie certyfikatu do klastra w tym artykule.
    • Uzyskiwanie podpisu certyfikatu od instytucji certyfikującej
    Jeśli certyfikat jest podpisywany przez urząd certyfikacji, upewnij się, że nowy certyfikat SSL jest w formacie x509 i zawiera cały łańcuch zaufania certyfikatu.

    Często zdarza się, że urząd certyfikacji zwraca nowy certyfikat SSL, certyfikat pośredni i certyfikat główny w oddzielnych plikach.

    Jeśli urząd certyfikacji to zrobił, MUSISZ ręcznie utworzyć certyfikat w formacie PEM.

    Kolejność ma znaczenie podczas tworzenia certyfikatu w formacie PEM. Certyfikat musi znajdować się na górze pliku, następnie certyfikaty pośrednie, a certyfikat główny musi znajdować się na dole.

    Oto przykład tego, jak wygląda plik w formacie PEM: 
    -----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
    Prostym sposobem utworzenia pliku w formacie PEM z poziomu interfejsu wiersza polecenia jest cat plików (pamiętaj, że kolejność plików ma znaczenie): 
    cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
    Skopiuj plik onefs_pem_formatted.crt do /ifs/local directory i zmień jego nazwę na server.crt.
     
    Uwaga: If a .cer plików, zmień jego nazwę na .crt rozszerzenie.

     

    • (Opcjonalnie) Zweryfikuj integralności i atrybuty certyfikatu:
    openssl x509 -text -noout -in server.crt

    Dodaj certyfikat do klastra:

    1. Zaimportuj nowy certyfikat i klucz do systemu:
    isi certificate server import /ifs/local/server.crt /ifs/local/server.key
    1. Sprawdź, czy certyfikat został pomyślnie zaimportowany:
    isi certificate server list -v
    1. Ustaw importowany certyfikat jako domyślny:
      isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
      1. Użyj poniższego polecenia, aby potwierdzić, że importowany certyfikat jest używany jako domyślny, sprawdzając stan „Domyślny certyfikat HTTPS”:
      isi certificate settings view
      1. Jeśli istnieje nieużywany lub nieaktualny certyfikat, usuń go za pomocą polecenia:
      isi certificate server delete --id=<id_of_cert_to_delete>
      1. Wyświetl nowy zaimportowany certyfikat za pomocą polecenia:
      isi certificate server view --id=<id_of_cert>

      Weryfikacja

      Istnieją dwie metody weryfikacji zaktualizowanego certyfikatu SSL.

      • W przeglądarce internetowej:
      1. Przejdź do https://<common name>:8080, gdzie <nazwa> pospolita to nazwa hosta używana do uzyskiwania dostępu do sieciowego interfejsu administracyjnego Isilon. Na przykład: isilon.example.com
      2. Wyświetl szczegóły dotyczące zabezpieczeń strony internetowej. Czynności te różnią się w zależności od przeglądarki. W niektórych przeglądarkach należy kliknąć ikonę kłódki na pasku adresu, aby wyświetlić szczegóły zabezpieczeń strony internetowej.
      3. W szczegółach zabezpieczeń strony internetowej sprawdź, czy wiersz tematu i inne szczegóły są poprawne. Zostaną wyświetlone dane wyjściowe podobne do poniższych, w których <twojestan>, <twojemiasto> i <twoja firma> to stan, miasto i nazwa organizacji:
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
      • Z wiersza polecenia:
      1. Otwórz połączenie SSH w węźle w klastrze i zaloguj się przy użyciu konta „root”.
      2. Uruchom następujące polecenie:
      echo QUIT | openssl s_client -connect localhost:8080
      1. Zostaną wyświetlone dane wyjściowe podobne do poniższych, gdzie <twojstan>, <twojemiasto> i <twoja firma> to stan, miasto i nazwa organizacji:
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com

      Additional Information

      Uwaga: Alert zdarzenia wyzwala się również na platformie Isilon, jak pokazano poniżej: 
      SW_CERTIFICATE_EXPIRING: X.509 certificate default is nearing expiration:

Event: 400170001
Certificate 'default' in '**' store is nearing expiration:

      Affected Products

      PowerScale OneFS

      Products

      Isilon
      Article Properties
      Article Number: 000157711
      Article Type: How To
      Last Modified: 17 Sep 2025
      Version:  20
      Find answers to your questions from other Dell users
      Support Services
      Check if your device is covered by Support Services.