Dell Unity: Een Secure CA Certificate Signing Request (CSR) maken op Unity (op te lossen door gebruiker)

Maak bij Unity een Unity CSR CA-certificaatondertekeningsaanvraag.

Unity 5.5

1. SSH naar Unity als de gebruikersservice.

2. Maak een CA Certificate Signing Request (CSR)-configuratiebestand.

vi unity-cert.cnf
Kopieer de tekst uit het onderstaande werkvoorbeeld die tussen de twee #=== staat en plak de tekst in het bestand unity-cert.cnf .
Bewerk de distinguished_name 'dn'-details zodat deze overeenkomen met de C-, ST-, L-, OU-, CN- en e-mailadressen van uw Unity.
Bewerk de gegevens van de subjectAltName "alt_names" zodat deze overeenkomen met de behoeften van uw Unity's Full Qualified Domain Name (FQDN), hostnaam en IP-adres.

Hier is de lijst met definities voor Distinguished Name (dn):
C=2 letter landcode
ST=Staat/Regio
L=Locatie/Stad
O=Organisatie
OU=Organisatie-eenheid
CN=Algemene naam (dit is de volledig gekwalificeerde DNS-domeinnaam (FQDN) van Unity))
emailAddress=Het e-mailadres van een groep of een persoon die Unity en/of zijn certificaten beheert.

De subjectAltName is een lijst met FQDN, hostnaam en IP-adres die kan worden gebruikt om naar de Unity te bladeren.
Als er slechts één DNS-vermelding is, kunt u DNS=DNS-details gebruiken en de DNS.1- en DNS.2-vermeldingen verwijderen of van commentaar voorzien.
Sommige sites hebben de sectie subjectAltName uitgeschakeld voor ondersteunende IP-adressen. Verwijder of becommentarieer de IP-regel indien nodig.

Hieronder vindt u een werkend voorbeeld van unity-cert.cnf dat u naar wens moet bewerken.

#===
[req]
default_bits=2048
prompt=no
default_md=sha256
distinguished_name=dn
req_extensions=v3_req # The extensions to add to a certificate request

[dn]
C=US
ST=Massachusetts
L=Hopkinton
O=Dell Technologies
OU=3CLAB
CN=unityf12.3clab.hop.ma.dell.com
emailAddress=3clabadmin@3clab.hop.ma.dell.com

[v3_req]
basicConstraints=critical,CA:FALSE
keyUsage=critical,nonRepudiation,digitalSignature,keyEncipherment,keyAgreement
extendedKeyUsage=serverAuth,clientAuth
subjectAltName=@alt_names

[alt_names]
DNS.1=unityf12.3clab.hop.ma.dell.com
DNS.2=unityf12
IP.1=10.20.30.40
#===

Sla het bestand unity-cert.cnf op. 

3. Maak een CSR-certificaatondertekeningsaanvraag (.csr) en een persoonlijke sleutel (.pk) die niet met PassPhrase is beveiligd. Unity accepteert alleen een persoonlijke sleutel die niet is beveiligd met een wachtwoordzin.

   openssl req -newkey rsa:2048 -nodes -keyout unity-cert.pk -config unity-cert.cnf -out unity-cert.csr

   Bekijk en bevestig dat de CSR's distinguished_name en subjectAltName-details voldoen aan de Unity-vereisten.

   openssl req -verify -noout -text -in unity-cert.csr

4. Stuur het unity-cert.csr bestand naar de CA Certificate Signing Server om te worden ondertekend.
    Gebruik scp of WinSCP (met behulp van het scp-protocol) om het unity-cert.csr bestand over te zetten.
    Het team ondertekent de CSR met het certificaat van de CA en maakt een CA-ondertekend certificaat voor Unity.
     Als het geretourneerde certificaat binnenkomt als een (.cer), kan het de indeling DER hebben en moet deze de PEM-indeling hebben met de extensie (.crt).

5. Bekijk het zojuist gemaakte CA-ondertekende certificaat.

   openssl x509 -noout -text -in unity-cert.crt

   Als u het zojuist gemaakte certificaat niet kunt weergeven, converteert u het certificaat van de DER-indeling (.cer-extensie) naar de PEM-indeling (.crt-extensie) met de volgende opdracht:

   openssl x509 -inform der -in unity-cert.cer -outform pem -out unity-cert.crt

6. Bekijk het zojuist gemaakte CA-ondertekende certificaat.

   openssl x509 -noout -text -in unity-cert.crt

   Controleer of de uitvoer van het CA-ondertekende certificaat correct is en ga dan verder met de volgende stap.

7. Importeer het CA-ondertekende certificaat en de persoonlijke sleutel van Unity op de Unity.
   

         a. CA-ondertekend certificaat met een (.CRT) verlenging.
         b. Privésleutel die niet is beveiligd met een wachtwoordzin (.PK) uitbreiding. 
 

   svc_custom_cert unity-cert

        Als u een foutmelding krijgt en Unity OE 5.5
"ERROR: Kan de sterkte van de privésleutel niet bepalen"
Vraag een Senior Technical Support-medewerker om de interne update toe te passen op svc_custom_cert voordat u een CA-ondertekend certificaat importeert.

   De beheerservices van Unity worden opnieuw opgestart en het nieuwe certificaat wordt geladen. Dit duurt 2-5 minuten.
      
   

8. Zodra het nieuwe certificaat is geïmporteerd, opent u uw webbrowser en maakt u verbinding met Unity.
    Afhankelijk van uw behoeften, kiest u de gewenste URL om te bevestigen dat het certificaat veilig is.

   https://FQDN/
   https://hostname/
   https://Unity_IP_Address/
   https://[Unity_IPv6_Address]/

   
Opmerking: Voor mijn tijdelijke Unity's voorbeeld:
FQDN is unityf12.3clab.hop.ma.dell.com
Hostname is unityf12 (ik moest ervoor zorgen dat de zoekfunctie van het domein van mijn werkstation 3clab.hop.ma.dell.com bevatte).
IP-adres is 10.20.30.40
Er is geen IPv6-adres opgegeven.

Als voorbeeld kan ik dan, om naar mijn Unity te bladeren, het volgende gebruiken:

   https://unityf12.3clab.hop.ma.dell.com/
   https://unityf12/ (Ensure your workstation's domain search includes Unity's Domain) 
   https://10.20.30.40/
   https://[Unity_IPv6_Address]/ (Note, My Unity does not have IPv6 address to test.)

Bij het gebruik van de bovenstaande procedure hoeft u geen scripts te schrijven of de serviceshell in te schakelen.

Extra stappen om de bevoegdheidsketen te valideren dat de "modulus" van de privésleutel (. PK), Certificate Signing Request (. CSR) en het CA-Signed Certificate (. CRT) komen allemaal overeen.

openssl rsa  -noout -modulus -in unity-cert.pk  | sha256sum
openssl req  -noout -modulus -in unity-cert.csr | sha256sum
openssl x509 -noout -modulus -in unity-cert.crt | sha256sum