PowerScale OneFS: Замініть або поновіть SSL-сертифікат для веб-адміністрації Isilon

Summary: Кроки з поновлення або заміни SSL-сертифіката для веб-інтерфейсу адміністрування OneFS.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Примітка: Команди в цій статті призначені ТІЛЬКИ для використання з кластером Isilon. Він не призначений для використання із зовнішнім сервером Linux.

 

Примітка: Isilon не продовжує сертифікат автоматично. Його потрібно оновити вручну, дотримуючись інструкцій, наведених у цій статті, у кластері Isilon.

 

Введення

У цій статті пояснюється, як замінити або поновити сертифікат Secure Sockets Layer (SSL) для веб-інтерфейсу адміністрування isilon. Нижче наведено процедури, за допомогою яких можна виконати заміну або поновлення сертифіката, підписаного власним підписом, або надіслати запит на заміну чи поновлення SSL до центру сертифікації (CA).

Необхідні інструменти або навички

Щоб виконати це завдання, у вас повинен бути URL-адреса для доступу до інтерфейсу веб-адміністрування Isilon. (У прикладах у цій статті використовується https://isilon.example.com:8080/.) Вам також має бути зручно виконувати команди з командного рядка.

 

Передумови

Довідкова інформація
Наступні списки містять розташування за замовчуванням для server.crt і server.key Файли. У наведених нижче процедурах оновіть кроки, щоб вони відповідали цій інформації для інстальованої версії OneFS.

Отримайте список сертифікатів, виконавши команду нижче:

isi certificate server list 

    Процедура

    Створіть локальну робочу директорію.

    mkdir /ifs/local
cd /ifs/local

    Перевірте, чи хочете ви поновити наявний сертифікат або створити сертифікат з нуля.

    • Поновіть існуючий Сертифікат із власним підписом.
    При цьому створюється сертифікат продовження, який базується на існуючому (запасі) ssl.key. Виконайте наведену нижче команду, щоб створити дворічний сертифікат. Збільште або зменшіть значення для -днів, щоб згенерувати сертифікат з іншим терміном дії:
    730 = 2yrs
    1825 = 5yr
    3650 = 10yr 
    cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
    Відповідь на запити системи запропонує завершити процес генерації самопідписаного SSL-сертифіката, ввівши відповідну інформацію для вашої організації.

    Наприклад: 
    Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
    Після завершення введення інформації, server.csr і server.key файли, які відображаються в /ifs/local directory.
    • (Необов'язково) Перевірте цілісність та атрибути сертифіката:
    openssl x509 -text -noout -in server.crt
    Після цього кроку перейдіть до розділу Додати сертифікат до розділу кластера цієї статті.
    • Створіть сертифікат і ключ.
    Ця процедура показує, як створити новий приватний ключ і SSL-сертифікат. Виконайте наступну команду, щоб створити RSA 2048-bit Приватний ключ: 
    openssl genrsa -out server.key 2048
    Створіть запит на підписання сертифіката: 
    openssl req -new -nodes -key server.key -out server.csr
    Введіть відповідну інформацію для вашої організації. 
    Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
    • (Необов'язково) Створіть CSR для центру сертифікації, який включає Subject-Alternative-Names. Якщо потрібен додатковий DNS, його можна додати за допомогою коми (,)
    Наприклад: DNS:example.com,DNS:www.example.com 
    openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
    Коли з'явиться запит, введіть інформацію, яку потрібно включити в запит на сертифікат. Після завершення введення інформації, server.csr і server.key файли, які відображаються в /ifs/local directory.

    Перевірте, чи хочете ви підписати сертифікат самостійно або підписати його в центрі сертифікації (CA).
    • Самостійно підпишіть SSL-сертифікат.
    Щоб самостійно підписати сертифікат за допомогою ключа, запустіть наведену нижче команду, яка створює новий самопідписаний сертифікат, дійсний протягом 2 років: 
    openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
    Переконайтеся, що ключ збігається з сертифікатом, обидві команди повинні повертати однакове значення md5: 
    openssl x509 -noout -modulus -in server.crt | openssl md5           
openssl rsa -noout -modulus -in server.key | openssl md5
    Після цього кроку перейдіть до розділу Додати сертифікат до розділу кластера цієї статті.
    • Отримайте ЦС для підписання сертифіката.
    Якщо ЦС підписує сертифікат, переконайтеся, що новий сертифікат SSL має формат x509 і включає весь ланцюжок довіри сертифіката.

    Зазвичай ЦС повертає новий сертифікат SSL, проміжний сертифікат і кореневий сертифікат у вигляді окремих файлів.

    Якщо ЦС це зробив, ви ПОВИННІ вручну створити сертифікат у форматі PEM.

    Порядок має значення під час створення сертифіката у форматі PEM. Ваш сертифікат має бути у верхній частині файлу, за ним слідують проміжні сертифікати, а кореневий сертифікат має бути внизу.

    Ось приклад того, як виглядає файл у форматі PEM: 
    -----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
    Простим способом створення файлу у форматі PEM з інтерфейсу командного рядка є видалення файлів (пам'ятайте, що порядок файлів має значення): 
    cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
    Скопіюйте файл onefs_pem_formatted.crt файл до /ifs/local directory і перейменуйте його на server.crt.
     
    Примітка: Якщо .cer файл отримано, перейменуйте його в .crt збільшення.

     

    • (Необов'язково) Перевірте цілісність та атрибути сертифіката:
    openssl x509 -text -noout -in server.crt

    Додайте сертифікат до кластера:

    1. Імпортуйте новий сертифікат та ключ у систему:
    isi certificate server import /ifs/local/server.crt /ifs/local/server.key
    1. Переконайтеся, що сертифікат успішно імпортовано.
    isi certificate server list -v
    1. Встановіть імпортований сертифікат за замовчуванням:
      isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
      1. Скористайтеся наведеною нижче командою, щоб підтвердити, що імпортований сертифікат використовується за замовчуванням, перевіривши статус «Сертифікат HTTPS за замовчуванням»:
      isi certificate settings view
      1. Якщо є невикористаний або застарілий сертифікат, видаліть його за допомогою команди:
      isi certificate server delete --id=<id_of_cert_to_delete>
      1. Перегляньте новий імпортований сертифікат за допомогою команди:
      isi certificate server view --id=<id_of_cert>

      Верифікація

      Існує два методи перевірки оновленого SSL-сертифіката.

      • У веб-браузері:
      1. Перейдіть до https://<common name>:8080, де <загальне ім'я> – це ім'я хоста, яке використовується для доступу до інтерфейсу веб-адміністрування Isilon. Наприклад isilon.example.com
      2. Перегляньте відомості про безпеку веб-сторінки. Кроки для цього залежать від браузера. У деяких браузерах натисніть значок замка в адресному рядку, щоб переглянути відомості про безпеку веб-сторінки.
      3. У відомостях про безпеку веб-сторінки перевірте правильність рядка теми та інших даних. Відображається результат, подібний до наведеного нижче, де <ваш штат<>, ваше місто> та <ваша компанія> є штатом, містом та назвою вашої організації:
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
      • З командного рядка:
      1. Відкрийте SSH-з'єднання на будь-якому вузлі кластера та авторизуйтесь за допомогою облікового запису "root".
      2. Виконайте наступну команду:
      echo QUIT | openssl s_client -connect localhost:8080
      1. Відображається результат, аналогічний наступному, де <ваш стан>, <ваше місто> та <ваша компанія> є штатом, містом та назвою вашої організації:
      Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com

      Additional Information

      Примітка: Оповіщення про подію також спрацьовує на Isilon, як показано нижче: 
      SW_CERTIFICATE_EXPIRING: X.509 certificate default is nearing expiration:

Event: 400170001
Certificate 'default' in '**' store is nearing expiration:

      Affected Products

      PowerScale OneFS

      Products

      Isilon
      Article Properties
      Article Number: 000157711
      Article Type: How To
      Last Modified: 17 Sep 2025
      Version:  20
      Find answers to your questions from other Dell users
      Support Services
      Check if your device is covered by Support Services.