PowerScale OneFS. Замена или обновление SSL-сертификата для веб-администрирования Isilon

Summary: Действия по обновлению или замене SSL-сертификата для веб-интерфейса администрирования OneFS.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Примечание. Команды, описанные в этой статье, предназначены ТОЛЬКО для использования с кластером Isilon. Он не предназначен для использования с внешним сервером Linux.

 

Примечание. Isilon не обновляет сертификат автоматически. Ее необходимо продлить вручную, выполнив действия, описанные в этой статье, в кластере Isilon.

 

Введение

В этой статье объясняется, как заменить или обновить сертификат Secure Sockets Layer (SSL) для веб-интерфейса администрирования Isilon. Следующие процедуры включают в себя варианты замены или обновления самозаверяющего сертификата или запроса на замену или обновление SSL в источнике сертификации.

Необходимые инструменты и навыки

Для выполнения этой задачи необходим URL-адрес для доступа к веб-интерфейсу администрирования Isilon. (В примерах в этой статье используются https://isilon.example.com:8080/.) Также удобно будет выполнять команды из командной строки.

 

Предварительные условия

Справочная информация
В следующих списках указаны местоположения по умолчанию для server.crt и server.key Файлы. В последующих процедурах адаптируйте действия так, чтобы они соответствовали установленной версии OneFS.

Получите список сертификатов, выполнив следующую команду:

isi certificate server list 

    Последовательность действий

    Создайте локальный рабочий каталог.

    mkdir /ifs/local
cd /ifs/local

    Проверьте, требуется ли продлить существующий сертификат или создать сертификат с нуля.

    • Обновление существующего самозаверяющего сертификата
    При этом создается сертификат продления, основанный на существующем (складском) ssl.key. Для создания сертификата на два года выполните следующую команду. Увеличьте или уменьшите количество дней, чтобы создать сертификат с другой датой истечения срока действия.
    730 = 2yrs
    1825 = 5yr
    3650 = 10yr 
    cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
    Ответьте на системные запросы, чтобы завершить процесс создания самозаверяющего SSL-сертификата и введите соответствующую информацию для вашей организации.

    Например: 
    Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
    Когда вы закончите вводить информацию, server.csr и server.key Файлы отображаются в /ifs/local directory.
    • (Дополнительно) Проверьте целостность и атрибуты сертификата:
    openssl x509 -text -noout -in server.crt
    После этого шага перейдите в раздел Добавление сертификата в кластер этой статьи.
    • Создание сертификата и ключа
    В этой процедуре показано, как создать новый закрытый ключ и SSL-сертификат. Выполните следующую команду, чтобы создать RSA 2048-bit Закрытый ключ: 
    openssl genrsa -out server.key 2048
    Создание запроса на подписание сертификата: 
    openssl req -new -nodes -key server.key -out server.csr
    Введите соответствующую информацию для вашей организации. 
    Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
    • (Дополнительно) Создание CSR для источника сертификатов, который включает альтернативное-имя-субъекта. Если требуется дополнительный DNS-сервер, его можно добавить через запятую (,)
    Пример. DNS:example.com,DNS:www.example.com 
    openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
    При появлении запроса введите информацию, которая будет включена в запрос сертификата. Когда вы закончите вводить информацию, server.csr и server.key Файлы отображаются в /ifs/local directory.

    Проверьте, хотите ли вы подписать сертификат самостоятельно или попросить его подписать в источнике сертификатов (CA).
    • Самостоятельное заверение сертификата SSL
    Чтобы самостоятельно заверить сертификат с помощью ключа, выполните следующую команду, которая создает самозаверяющий сертификат, действительный в течение 2 лет. 
    openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
    Убедитесь, что ключ соответствует сертификату, — обе команды должны вернуть одно и то же значение параметра md5. 
    openssl x509 -noout -modulus -in server.crt | openssl md5           
openssl rsa -noout -modulus -in server.key | openssl md5
    После этого шага перейдите в раздел Добавление сертификата в кластер этой статьи.
    • Доступ к источнику сертификатов для подписи сертификата
    Если сертификат подписывает центр сертификации, убедитесь, что новый сертификат SSL имеет формат x509 и включает всю цепочку доверия сертификатов.

    Обычно ЦС возвращает новый SSL-сертификат, промежуточный сертификат и корневой сертификат в отдельных файлах.

    Если CA сделал это , необходимо вручную создать сертификат в формате PEM.

    Порядок имеет значение при создании сертификата в формате PEM. Сертификат должен находиться в верхней части файла, за ним следуют промежуточные сертификаты, а корневой сертификат должен быть внизу.

    Вот пример того, как выглядит файл в формате PEM: 
    -----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
    Простой способ создать файл в формате PEM из интерфейса командной строки — отправить файлы в cat (помните, что порядок файлов имеет значение): 
    cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
    Скопируйте файл onefs_pem_formatted.crt в /ifs/local directory и переименуйте его в server.crt.
     
    Примечание. If a .cer файлов, переименуйте его в .crt расширение.

     

    • (Дополнительно) Проверьте целостность и атрибуты сертификата:
    openssl x509 -text -noout -in server.crt

    Добавьте сертификат в кластер:

    1. Импортируйте новый сертификат и ключ в систему:
    isi certificate server import /ifs/local/server.crt /ifs/local/server.key
    1. Убедитесь, что сертификат импортирован успешно.
    isi certificate server list -v
    1. Установление импортированного сертификата сертификатом по умолчанию:
      isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
      1. Используйте следующую команду, чтобы подтвердить, что импортированный сертификат используется по умолчанию, подтвердив статус «Сертификат HTTPS по умолчанию».
      isi certificate settings view
      1. Если имеется неиспользуемый или устаревший сертификат, удалите его с помощью команды:
      isi certificate server delete --id=<id_of_cert_to_delete>
      1. Просмотрите новый импортированный сертификат с помощью команды:
      isi certificate server view --id=<id_of_cert>

      Проверка

      Существует два способа проверки обновленного SSL-сертификата.

      • В веб-браузере:
      1. Перейдите к https://<common name>:8080, где <общее имя> — это имя хоста, используемое для доступа к веб-интерфейсу администрирования Isilon. Например, isilon.example.com
      2. Просмотрите сведения о безопасности веб-страницы. Действия будут различаться в зависимости от браузера. В некоторых браузерах нужно нажать на значок с замком в адресной строке, чтобы просмотреть сведения о безопасности веб-страницы.
      3. В сведениях о безопасности веб-страницы проверьте правильность строки темы и других сведений. Отобразится вывод, аналогичный следующему, где <yourstate>, <yourcity> и <ваша компания> — это штат, город и название вашей организации:
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
      • Из командной строки:
      1. Установите соединение по протоколу SSH с узлом и войдите в систему с помощью учетной записи root.
      2. Выполните следующую команду:
      echo QUIT | openssl s_client -connect localhost:8080
      1. Отобразится вывод, аналогичный следующему, где <yourstate>, <yourcity> и <your company> — это штат, город и название вашей организации:
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com

      Additional Information

      Примечание. Оповещение о событии также запускается в Isilon, как показано ниже: 
      SW_CERTIFICATE_EXPIRING: X.509 certificate default is nearing expiration:

Event: 400170001
Certificate 'default' in '**' store is nearing expiration:

      Affected Products

      PowerScale OneFS

      Products

      Isilon
      Article Properties
      Article Number: 000157711
      Article Type: How To
      Last Modified: 17 Sep 2025
      Version:  20
      Find answers to your questions from other Dell users
      Support Services
      Check if your device is covered by Support Services.