PowerScale OneFS: Isilon Web Yönetimi için SSL Sertifikasını Değiştirme veya Yenileme

Summary: OneFS web yönetimi arayüzü için SSL Sertifikasını yenileme veya değiştirme adımları.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Not: Bu makaledeki komutlar YALNIZCAIsilon Kümesi ile kullanım içindir. Harici bir Linux sunucusuyla kullanılmak üzere tasarlanmamıştır.

 

Not: Isilon, sertifikayı otomatik olarak yenilemez. Bir Isilon Kümesinde bu makaledeki adımlar izlenerek manuel olarak yenilenmesi gerekir.

 

Giriş

Bu makalede, Isilon web yönetim arayüzü için Güvenli Soket Katmanı (SSL) sertifikasının değiştirilmesi ve yenilenmesi açıklanmaktadır. Aşağıdaki prosedürler, kendinden imzalı sertifika değişimi veya yenilemesini tamamlama veya Sertifika Yetkilisinden (CA) SSL değişimi veya yenilemesi talep etme seçeneklerini içerir.

Gerekli araçlar veya beceriler

Bu görevi tamamlamak için Isilon web yönetimi arayüzüne erişim URL'sine sahip olmanız gerekir. (Bu makaledeki örneklerde https://isilon.example.com:8080/.) Ayrıca, komut satırından rahatça komut çalıştırabilmeniz gerekir.

 

Ön Koşullar

Referans bilgi
Aşağıdaki listeler, yerel sürücüler için varsayılan konumları içerir. server.crt ve server.key Dosyaları. Aşağıdaki prosedürlerde yer alan adımları, yüklü olan OneFS sürümü için bu bilgilerle uyuşacak şekilde güncelleyin.

Aşağıdaki komutu çalıştırarak sertifika listesini alın:

isi certificate server list 

    İşlemler

    Yerel bir çalışma dizini oluşturun.

    mkdir /ifs/local
cd /ifs/local

    Mevcut bir sertifikayı yenilemek mi yoksa sıfırdan bir sertifika oluşturmak mı istediğinizi doğrulayın.

    • Kendinden imzalı mevcut bir Sertifikayı yenileme.
    Bu, mevcut (stok) temel alınarak bir yenileme sertifikası oluşturur ssl.key. İki yıllık bir sertifika oluşturmak için aşağıdaki komutu çalıştırın. Farklı bir son kullanma tarihine sahip bir sertifika oluşturmak için gün değerini artırın veya azaltın:
    730 = 2yrs
    1825 = 5yr
    3650 = 10yr 
    cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
    Kuruluşunuz için uygun bilgileri girerek kendinden imzalı bir SSL sertifikası oluşturma işlemini tamamlamak için sistemin oluşturduğu istemleri yanıtlayın.

    Örnek: 
    Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
    Bilgileri girmeyi bitirdiğinizde, server.csr ve server.key Dosyalar /ifs/local directory.
    • (İsteğe bağlı) Sertifikanın bütünlüğünü ve özniteliklerini doğrulayın:
    openssl x509 -text -noout -in server.crt
    Bu adımdan sonra bu makalenin Sertifikayı kümeye ekleme bölümüne gidin.
    • Sertifika ve anahtar oluşturma.
    Bu prosedür, yeni bir özel anahtarın ve SSL sertifikasının nasıl oluşturulacağını gösterir. Oluşturmak için aşağıdaki komutu çalıştırın: RSA 2048-bit Private Key: 
    openssl genrsa -out server.key 2048
    Sertifika imzalama isteği oluşturun: 
    openssl req -new -nodes -key server.key -out server.csr
    Kuruluşunuz için uygun bilgileri girin. 
    Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
    • (İsteğe bağlı) Bir Sertifika Yetkilisi için Konu-Alternatif-Adlar öğelerini içeren bir CSR oluşturun. Ek DNS gerekiyorsa virgül (,) kullanılarak eklenebilir
    Örneğin: DNS:example.com,DNS:www.example.com 
    openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
    İstendiğinde, sertifika isteğine dahil edilecek bilgileri yazın. Bilgileri girmeyi bitirdiğinizde, server.csr ve server.key Dosyalar /ifs/local directory.

    Sertifikayı kendiniz imzalamak mı yoksa bir Sertifika Yetkilisine (CA) imzalatmak mı istediğinizi doğrulayın.
    • SSL Sertifikasının Kendiliğinden İmzalanması.
    Sertifikanın anahtarla kendiliğinden imzalanması için 2 yıl boyunca geçerli olan kendinden imzalı yeni bir sertifika oluşturan aşağıdaki komutu çalıştırın: 
    openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
    Anahtarın sertifikayla eşleştiğini doğrulayın. Her iki komut da aynı md5 değerini döndürmelidir: 
    openssl x509 -noout -modulus -in server.crt | openssl md5           
openssl rsa -noout -modulus -in server.key | openssl md5
    Bu adımdan sonra bu makalenin Sertifikayı kümeye ekleme bölümüne gidin.
    • Sertifikayı CA'ya İmzalatma
    Sertifikayı bir CA imzalıyorsa yeni SSL sertifikasının x509 biçiminde olduğundan ve sertifika güven zincirinin tamamını içerdiğinden emin olun.

    CA'nın yeni SSL sertifikasını, ara sertifikayı ve kök sertifikayı ayrı dosyalarda döndürmesi yaygın bir durumdur.

    CA bunu yaptıysa, PEM biçimli sertifikayı manuel olarak oluşturmanız GEREKİR .

    PEM biçimli sertifika oluşturulurken sıra önemlidir. Sertifikanız dosyanın en üstünde, ardından ara sertifikaların gelmesi ve kök sertifikanın en altta olması gerekir.

    PEM biçimli dosyanın nasıl göründüğüne dair bir örnek aşağıda verilmiştir: 
    -----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
    CLI'dan PEM biçimli dosya oluşturmanın basit bir yolu, dosyaları cat işlemi yapmaktır (dosyaların sırasının önemli olduğunu unutmayın): 
    cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
    Kopyala onefs_pem_formatted.crt dosyasını /ifs/local directory ve olarak yeniden adlandırın server.crt.
     
    Not: If a .cer Dosya alındı ve dosyayı .crt uzantı.

     

    • (İsteğe bağlı) Sertifikanın bütünlüğünü ve özniteliklerini doğrulayın:
    openssl x509 -text -noout -in server.crt

    Sertifikayı kümeye ekleyin:

    1. Yeni sertifikayı ve anahtarı sisteme aktarın:
    isi certificate server import /ifs/local/server.crt /ifs/local/server.key
    1. Sertifikanın başarıyla içe aktarıldığını doğrulayın:
    isi certificate server list -v
    1. İçe aktarılan sertifikayı varsayılan olarak ayarlayın:
      isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
      1. "Varsayılan HTTPS Sertifikası" durumunu doğrulayarak içe aktarılan sertifikanın varsayılan olarak kullanıldığını doğrulamak için aşağıdaki komutu kullanın:
      isi certificate settings view
      1. Kullanılmayan veya güncelliğini yitirmiş bir sertifika varsa bunu şu komutla silin:
      isi certificate server delete --id=<id_of_cert_to_delete>
      1. İçe aktarılan yeni sertifikayı şu komutla görüntüleyin:
      isi certificate server view --id=<id_of_cert>

      Doğrulama

      Güncelleştirilmiş SSL sertifikasını doğrulamanın iki yöntemi vardır.

      • Bir web tarayıcısından:
      1. Şuraya gidin: https://<common name>:8080, burada <ortak ad> , Isilon web yönetimi arayüzüne erişmek için kullanılan ana bilgisayar adıdır. Örneğin, isilon.example.com
      2. Web sayfası güvenlik ayrıntılarını görüntüleyin. Bunu yapmak için gereken adımlar tarayıcıya göre değişiklik gösterir. Bazı tarayıcılarda, web sayfası güvenlik ayrıntılarını görüntülemek için adres çubuğundaki asma kilit simgesine tıklamanız gerekir.
      3. Web sayfası güvenlik ayrıntılarında konu satırı ve diğer ayrıntıların doğru olduğundan emin olun. Aşağıdakine benzer bir çıktı görüntülenir; burada <yourstate, <yourcity>> ve <your company>, kuruluşunuzun eyaleti, şehri ve adıdır:
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
      • Komut satırından:
      1. Kümedeki herhangi bir düğümde SSH bağlantısı açın ve "kök" hesabını kullanarak oturum açın.
      2. Aşağıdaki komutu çalıştırın:
      echo QUIT | openssl s_client -connect localhost:8080
      1. Aşağıdakine benzer bir çıktı görüntülenir; burada <yourstate, <yourcity>> ve <your company>, kuruluşunuzun eyaleti, şehri ve adıdır:
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com

      Additional Information

      Not: Olay uyarısı, aşağıda görüldüğü gibi Isilon'da da tetiklenir: 
      SW_CERTIFICATE_EXPIRING: X.509 certificate default is nearing expiration:

Event: 400170001
Certificate 'default' in '**' store is nearing expiration:

      Affected Products

      PowerScale OneFS

      Products

      Isilon
      Article Properties
      Article Number: 000157711
      Article Type: How To
      Last Modified: 17 Sep 2025
      Version:  20
      Find answers to your questions from other Dell users
      Support Services
      Check if your device is covered by Support Services.