PowerScale OneFS: Substituir ou renovar o certificado SSL para a administração da Web do Isilon

Summary: Etapas para renovar ou substituir o certificado SSL da interface Web de administração do OneFS.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Nota: Os comandos neste artigo destinam-se SOMENTE para uso com um cluster do Isilon. Ele não se destina ao uso com um servidor Linux externo.

 

Nota: O Isilon não renova automaticamente o certificado. Ele deve ser renovado manualmente seguindo as etapas deste artigo em um cluster do Isilon.

 

Introdução

Este artigo explica como substituir ou renovar o Secure Sockets Layer (SSL) da interface Web de administração do Isilon. Os procedimentos a seguir incluem opções para concluir uma substituição ou renovação de certificado autoassinado ou solicitar uma substituição ou renovação de SSL de uma Autoridade de Certificação (CA).

Ferramentas ou habilidades necessárias

Para concluir essa tarefa, você deve ter a URL para acessar a interface Web de administração do Isilon. (Os exemplos neste artigo usam https://isilon.example.com:8080/.) Você também precisa ter familiaridade com a execução de comandos na linha de comando.

 

Pré-requisitos

Informações de referência
As listas a seguir incluem os locais padrão para o server.crt e server.key limas. Nos procedimentos a seguir, atualize as etapas para corresponder essas informações com a versão do OneFS instalada.

Obtenha a lista de certificados a partir da execução do comando abaixo:

isi certificate server list 

    Procedimento

    Crie um diretório de trabalho local.

    mkdir /ifs/local
cd /ifs/local

    Verifique se você deseja renovar um certificado existente ou se deseja criar um certificado do zero.

    • Renovar um certificado autoassinado existente.
    Isso cria um certificado de renovação baseado no (estoque) existente ssl.key. Execute o seguinte comando para criar um certificado de dois anos. Aumente ou diminua o valor de -days para gerar um certificado com uma data de expiração diferente:
    730 = 2yrs
    1825 = 5yr
    3650 = 10yr 
    cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
    Responda aos prompts do sistema para concluir o processo a fim de gerar um certificado SSL autoassinado, inserindo as informações apropriadas da sua organização.

    Por exemplo: 
    Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
    Ao concluir a inserção das informações, o server.csr e server.key Os arquivos são exibidos no /ifs/local directory.
    • Verifique a integridade e os atributos do certificado (opcional):
    openssl x509 -text -noout -in server.crt
    Vá para a seção Adicionar o certificado ao cluster deste artigo após esta etapa.
    • Criar um certificado e uma chave.
    Este procedimento mostra como criar uma nova chave privada e um novo certificado SSL. Execute o seguinte comando para criar um RSA 2048-bit Chave privada: 
    openssl genrsa -out server.key 2048
    Crie uma solicitação de assinatura de certificado: 
    openssl req -new -nodes -key server.key -out server.csr
    Insira as informações apropriadas para sua organização. 
    Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
    • Gere uma CSR para uma autoridade de certificação que inclua nomes alternativos da entidade (opcional). Se um DNS adicional for necessário, ele poderá ser adicionado usando uma vírgula (,)
    Por exemplo: DNS:example.com,DNS:www.example.com 
    openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
    Quando solicitado, digite as informações que devem ser incorporadas à solicitação de certificado. Ao concluir a inserção das informações, o server.csr e server.key Os arquivos são exibidos no /ifs/local directory.

    Verifique se deseja assinar o certificado automaticamente ou fazer com que ele seja assinado por uma autoridade de certificação (CA).
    • Autoassinar o certificado SSL.
    Para autoassinar o certificado com a chave, execute o comando abaixo. Ele cria um novo certificado autoassinado, válido por dois anos: 
    openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
    Verifique se a chave corresponde ao certificado. Ambos os comandos devem retornar o mesmo valor md5: 
    openssl x509 -noout -modulus -in server.crt | openssl md5           
openssl rsa -noout -modulus -in server.key | openssl md5
    Vá para a seção Adicionar o certificado ao cluster deste artigo após esta etapa.
    • Obter o certificado assinado por uma CA.
    Se uma CA estiver assinando o certificado, certifique-se de que o novo certificado SSL esteja no formato x509 e inclua toda a cadeia de confiança do certificado.

    É comum que a CA retorne o novo certificado SSL, o certificado intermediário e o certificado raiz em arquivos separados.

    Se a CA tiver feito isso, você DEVERÁ criar manualmente o certificado formatado de PEM.

    O pedido é importante ao criar o certificado formatado de PEM. Seu certificado deve estar na parte superior do arquivo, seguido pelos certificados intermediários, e o certificado raiz deve estar na parte inferior.

    Aqui está um exemplo da aparência do arquivo formatado PEM: 
    -----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
    Uma maneira simples de criar o arquivo formatado PEM a partir da CLI é rastrear os arquivos (lembre-se, a ordem dos arquivos é importante): 
    cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
    Copie o onefs_pem_formatted.crt arquivo /ifs/local directory e renomeie-o para server.crt.
     
    Nota: If a .cer arquivo é recebido, renomeie-o para um .crt extensão.

     

    • Verifique a integridade e os atributos do certificado (opcional):
    openssl x509 -text -noout -in server.crt

    Adicione o certificado ao cluster:

    1. Importe o novo certificado e a nova chave para o sistema:
    isi certificate server import /ifs/local/server.crt /ifs/local/server.key
    1. Verifique se o certificado foi importado com sucesso:
    isi certificate server list -v
    1. Defina o certificado importado como padrão:
      isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
      1. Use o comando abaixo para confirmar se o certificado importado está sendo usado como padrão, verificando o status de "Default HTTPS Certificate":
      isi certificate settings view
      1. Se houver um certificado não utilizado ou desatualizado, exclua-o com o comando:
      isi certificate server delete --id=<id_of_cert_to_delete>
      1. Visualize o novo certificado importado com o comando:
      isi certificate server view --id=<id_of_cert>

      Verificação

      Há dois métodos para verificar o certificado SSL atualizado.

      • Em um navegador da Web:
      1. Navegue até https://<common name>:8080, em <que nome comum> é o nome do host usado para acessar a interface Web de administração do Isilon. Por exemplo, isilon.example.com
      2. Visualize os detalhes de segurança da página da Web. As etapas para fazer isso variam de acordo com o navegador. Em alguns navegadores, basta clicar no ícone de cadeado na barra de endereços para visualizar os detalhes de segurança da página da Web.
      3. Nos detalhes de segurança da página da Web, verifique se a linha de assunto e outros detalhes estão corretos. Um resultado semelhante ao seguinte será exibido em <que seu estado>, <sua cidade> e <sua empresa> são o estado, a cidade e o nome de sua organização:
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
      • Em uma linha de comando:
      1. Abra uma conexão SSH com algum nó do cluster e faça login usando a conta "root".
      2. Execute o seguinte comando:
      echo QUIT | openssl s_client -connect localhost:8080
      1. Um resultado semelhante ao seguinte será exibido, em <que seu estado>, <sua cidade> e <sua empresa> são o estado, a cidade e o nome de sua organização:
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com

      Additional Information

      Nota: O alerta de evento também é acionado no Isilon, conforme visto abaixo: 
      SW_CERTIFICATE_EXPIRING: X.509 certificate default is nearing expiration:

Event: 400170001
Certificate 'default' in '**' store is nearing expiration:

      Affected Products

      PowerScale OneFS

      Products

      Isilon
      Article Properties
      Article Number: 000157711
      Article Type: How To
      Last Modified: 17 Sep 2025
      Version:  20
      Find answers to your questions from other Dell users
      Support Services
      Check if your device is covered by Support Services.