Dell Unity: Jak vytvořit žádost o podpis certifikátu zabezpečené certifikační autority (CSR) v Unity (oprava uživatelem)

V poli Unity vytvořte žádost o podpis certifikátu certifikační autority Unity CSR.

Unity 5.5

1. Přihlaste se přes SSH do Unity jako uživatelská služba.

2. Vytvořte konfigurační soubor žádosti o podpis certifikátu certifikační autority (CSR).

vi unity-cert.cnf
Zkopírujte text z níže uvedeného funkčního příkladu, který je mezi dvěma #=== a vložte jej do souboru unity-cert.cnf .
Upravte podrobnosti distinguished_name "dn" tak, aby odpovídaly potřebám C, ST, L, OU, CN a emailAddress vašeho Unity.
Upravte podrobnosti subjektu AltName "alt_names" tak, aby odpovídaly potřebám plně kvalifikovaného názvu domény (FQDN), názvu hostitele a IP adresy Unity.

Zde je seznam definic pro rozlišující
název (dn): C = 2 písmeno Kód
země ST = Stát/Region
L = Umístění/Město
O = Organizace
OU = Organizační jednotka
CN=Běžný název (Toto je plně kvalifikovaný název domény DNS (FQDN) Unity (FQDN))
emailAddress=E-mailová adresa skupiny nebo osoby, která spravuje Unity a/nebo její certifikáty.

subjectAltNameJe seznam plně kvalifikovaných názvů domén, názvu hostitele a IP adresy, které lze použít k procházení Unity.
Pokud existuje pouze jedna položka DNS, můžete použít DNS=DNS detail a odebrat nebo zakomentovat položky DNS.1 a DNS.2.
Některé weby zakázaly sekci subjectAltName podporu IP adres. Podle potřeby odeberte nebo zakomentujte řádek IP.

Níže je uveden funkční příklad souboru unity-cert.cnf , který je nutné upravit podle svých požadavků.

#===
[req]
default_bits=2048
prompt=no
default_md=sha256
distinguished_name=dn
req_extensions=v3_req # The extensions to add to a certificate request

[dn]
C=US
ST=Massachusetts
L=Hopkinton
O=Dell Technologies
OU=3CLAB
CN=unityf12.3clab.hop.ma.dell.com
emailAddress=3clabadmin@3clab.hop.ma.dell.com

[v3_req]
basicConstraints=critical,CA:FALSE
keyUsage=critical,nonRepudiation,digitalSignature,keyEncipherment,keyAgreement
extendedKeyUsage=serverAuth,clientAuth
subjectAltName=@alt_names

[alt_names]
DNS.1=unityf12.3clab.hop.ma.dell.com
DNS.2=unityf12
IP.1=10.20.30.40
#===

Uložte soubor unity-cert.cnf. 

3. Vytvořte požadavek na podpis certifikátu CSR (.csr) a soukromý klíč (.pk), který není chráněn přístupovou frází. Unity přijímá pouze soukromý klíč, který není chráněný heslem.

   openssl req -newkey rsa:2048 -nodes -keyout unity-cert.pk -config unity-cert.cnf -out unity-cert.csr

   Zobrazte a potvrďte, že distinguished_name požadavku CSR a podrobnosti subjectAltName splňují požadavky Unity.

   openssl req -verify -noout -text -in unity-cert.csr

4. Odešlete soubor unity-cert.csr na server podepisování certifikátů certifikační autority k podpisu.
    K přenosu souboru unity-cert.csr použijte scp nebo WinSCP (pomocí protokolu scp).
    Tým podepíše CSR pomocí certifikátu certifikační autority a vytvoří certifikát podepsaný certifikační autoritou pro Unity.
     Pokud vrácený certifikát dorazí ve formátu (.cer), může být ve formátu "DER" a musí být ve formátu "PEM" s příponou (.crt).

5. Prohlédněte si nově vytvořený certifikát podepsaný certifikační autoritou.

   openssl x509 -noout -text -in unity-cert.crt

   Pokud se vám nedaří zobrazit nově vytvořený certifikát, převeďte certifikát z formátu "DER" (přípona .cer) do formátu "PEM" (přípona .crt) pomocí následujícího příkazu:

   openssl x509 -inform der -in unity-cert.cer -outform pem -out unity-cert.crt

6. Prohlédněte si nově vytvořený certifikát podepsaný certifikační autoritou.

   openssl x509 -noout -text -in unity-cert.crt

   Ověřte správnost výstupu certifikátu podepsaného certifikační autoritou a pokračujte dalším krokem.

7. Importujte certifikát podepsaný certifikační autoritou a soukromý klíč Unity do pole Unity.
   

         a. Certifikát podepsaný certifikační autoritou s příponou (.crt) rozšíření.
         b. Soukromý klíč, který není chráněn přístupovou frází (.pk) rozšíření. 
 

   svc_custom_cert unity-cert

        Pokud se zobrazí chybová zpráva a v poli Unity běží prostředí OE 5.5
, zobrazí se zpráva "ERROR: Could not determine private key strength" Před importem certifikátu podepsaného certifikační autoritou požádejte vedoucího pracovníka technické podpory,
aby na svc_custom_cert nainstaloval interní aktualizaci.

   Služby správy řešení Unity se restartují a načtou nový certifikát. Dokončení trvá 2 až 5 minut.
      
   

8. Po importu nového certifikátu otevřete web a připojte se k Unity.
    V závislosti na svých potřebách zvolte požadovanou adresu URL a ověřte, že je certifikát zabezpečený.

   https://FQDN/
   https://hostname/
   https://Unity_IP_Address/
   https://[Unity_IPv6_Address]/

   
Poznámka: Pro můj dočasný příklad Unity:
FQDN je unityf12.3clab.hop.ma.dell.com
název hostitele je unityf12 (musel jsem zajistit, aby vyhledávání domény mé pracovní stanice zahrnovalo 3clab.hop.ma.dell.com).
IP adresa je 10.20.30.40
. Není zadána žádná adresa IPv6.

Jako příklad pak pro procházení mého Unity mohu použít:

   https://unityf12.3clab.hop.ma.dell.com/
   https://unityf12/ (Ensure your workstation's domain search includes Unity's Domain) 
   https://10.20.30.40/
   https://[Unity_IPv6_Address]/ (Note, My Unity does not have IPv6 address to test.)

Použití výše uvedeného postupu nezahrnuje skriptování ani povolení servisního prostředí.

Další kroky k ověření řetězce autority, že "modul" privátního klíče (. PK), Žádost o podpis certifikátu (. CSR) a certifikát podepsaný certifikační autoritou (. CRT) všechny se shodují.

openssl rsa  -noout -modulus -in unity-cert.pk  | sha256sum
openssl req  -noout -modulus -in unity-cert.csr | sha256sum
openssl x509 -noout -modulus -in unity-cert.crt | sha256sum