Dell Unity: Unity'de Güvenli CA Sertifikası İmzalama İsteği (CSR) Oluşturma (Kullanıcı tarafından düzeltilebilir)

Unity'de, Unity CSR CA sertifika imzalama isteği oluşturun.

Unity 5.5

1. Kullanıcı hizmeti olarak Unity'de SSH oturumu açın.

2. Bir CA Sertifika İmzalama İsteği (CSR) yapılandırma dosyası oluşturun.

vi unity-cert.cnf
Aşağıdaki çalışma örneğindeki iki #=== arasındaki metni kopyalayın ve unity-cert.cnf dosyasına yapıştırın.
distinguished_name "dn" ayrıntılarını Unity'nin C, ST, L, OU, CN ve emailAddress ihtiyaçlarıyla eşleşecek şekilde düzenleyin.
subjectAltName "alt_names" ayrıntılarını Unity'nin Tam Nitelikli Etki Alanı Adı (FQDN), ana bilgisayar adı ve IP Adresi gereksinimleriyle eşleşecek şekilde düzenleyin.

Ayırt edici ad (dn) ayrıntıları için tanımlar listesi aşağıda verilmiştir:
C=2 Harfli Ülke Kodu
ST=Eyalet/Bölge
L=Konum/Şehir
O=Kuruluş
OU=Kuruluş Birimi
CN=Ortak Ad (Bu, Unity'nin Tam Nitelikli DNS Etki Alanı Adıdır (FQDN))
emailAddress=Unity'yi ve/veya Sertifikalarını yöneten bir Grubun veya Kişinin e-posta adresi.

subjectAltName, Unity'ye göz atmak için kullanılabilecek FQDN, ana bilgisayar adı ve IP adresinin bir listesidir.
Yalnızca bir DNS girişi varsa DNS=DNS ayrıntısını kullanabilir ve DNS.1 ve DNS.2 girişlerini kaldırabilir veya açıklama satırı olarak hariç tutabilirsiniz.
Bazı siteler, subject AltName bölümünü IP adreslerini desteklemekten devre dışı bırakmıştır. IP hattını gerektiği gibi kaldırın veya açıklama satırı ekleyin.

Aşağıda, gereksinimlerinize göre düzenlemeniz gereken çalışan bir unity-cert.cnf örneği verilmiştir.

#===
[req]
default_bits=2048
prompt=no
default_md=sha256
distinguished_name=dn
req_extensions=v3_req # The extensions to add to a certificate request

[dn]
C=US
ST=Massachusetts
L=Hopkinton
O=Dell Technologies
OU=3CLAB
CN=unityf12.3clab.hop.ma.dell.com
emailAddress=3clabadmin@3clab.hop.ma.dell.com

[v3_req]
basicConstraints=critical,CA:FALSE
keyUsage=critical,nonRepudiation,digitalSignature,keyEncipherment,keyAgreement
extendedKeyUsage=serverAuth,clientAuth
subjectAltName=@alt_names

[alt_names]
DNS.1=unityf12.3clab.hop.ma.dell.com
DNS.2=unityf12
IP.1=10.20.30.40
#===

Unity-cert.cnf dosyasını kaydedin. 

3. CSR Sertifika İmzalama İsteği (.csr) ve PassPhrase korumalı olmayan bir Özel Anahtar (.pk) oluşturun. Unity yalnızca PassPhrase korumalı olmayan Özel Anahtarları kabul eder.

   openssl req -newkey rsa:2048 -nodes -keyout unity-cert.pk -config unity-cert.cnf -out unity-cert.csr

   CSR'nin distinguished_name ve subjectAltName ayrıntılarını görüntüleyin ve Unity gereksinimlerini karşıladığını onaylayın.

   openssl req -verify -noout -text -in unity-cert.csr

4. unity-cert.csr dosyasını imzalanması için CA Sertifika İmzalama Sunucusuna gönderin.
    unity-cert.csr dosyasını aktarmak için scp veya WinSCP'yi (scp protokolünü kullanarak) kullanın.
    Ekip, CSR'yi CA'nın Sertifikasıyla imzalar ve Unity için CA tarafından imzalanmış bir Sertifika oluşturur.
     Döndürülen Sertifika (.cer) olarak gelirse, "DER" biçiminde olabilir ve uzantılı (.crt) "PEM" biçiminde olmalıdır.

5. Yeni oluşturulan CA İmzalı Sertifikayı görüntüleyin.

   openssl x509 -noout -text -in unity-cert.crt

   Yeni oluşturulan sertifikayı görüntüleyemiyorsanız aşağıdaki komutu kullanarak sertifikayı "DER" biçiminden (.cer uzantılı) "PEM" biçimine (.crt uzantılı) dönüştürün:

   openssl x509 -inform der -in unity-cert.cer -outform pem -out unity-cert.crt

6. Yeni oluşturulan CA İmzalı Sertifikayı görüntüleyin.

   openssl x509 -noout -text -in unity-cert.crt

   CA imzalı sertifikanın çıktısının doğru olduğunu doğrulayın ve sonraki adıma geçin.

7. CA tarafından imzalanmış sertifikayı ve Unity'nin özel anahtarını Unity'ye aktarın.
   

         a. CA İmzalı Sertifika (.crt) uzantısı.
         b. Parola Korumalı Olmayan Özel Anahtar (.pk) uzantısı. 
 

   svc_custom_cert unity-cert

        Bir hata mesajı alırsanız ve Unity OE 5.5
çalıştırıyorsa "ERROR: Özel anahtar gücü belirlenemedi"
CA İmzalı Sertifikayı içe aktarmadan önce svc_custom_cert Dahili güncelleştirmeyi uygulamak için Kıdemli Teknik Destek personelinden talepte bulunun.

   Unity'nin yönetim hizmetleri yeniden başlatılır ve yeni Sertifika yüklenir. Bu işlemin tamamlanması 2-5 dakika sürer.
      
   

8. Yeni Sertifika içeri aktarıldıktan sonra web taramanızı açın ve Unity'ye bağlanın.
    İhtiyaçlarınıza bağlı olarak, sertifikanın güvenli olduğunu onaylamak için istediğiniz URL'yi seçin.

   https://FQDN/
   https://hostname/
   https://Unity_IP_Address/
   https://[Unity_IPv6_Address]/

   
Not: Geçici Unity örneğim için:
FQDN unityf12.3clab.hop.ma.dell.com
Ana Bilgisayar adı unityf12 (iş istasyonumun etki alanı aramasının 3clab.hop.ma.dell.com içerdiğinden emin olmak zorunda kaldım).
IP Adresi: 10.20.30.40
Belirtilen IPv6 adresi yok.

Örnek olarak Unity'me göz atmak için şunu kullanabilirim:

   https://unityf12.3clab.hop.ma.dell.com/
   https://unityf12/ (Ensure your workstation's domain search includes Unity's Domain) 
   https://10.20.30.40/
   https://[Unity_IPv6_Address]/ (Note, My Unity does not have IPv6 address to test.)

Yukarıdaki prosedürün kullanılması, komut dosyası oluşturmayı veya hizmet kabuğunu etkinleştirmeyi içermez.

Özel anahtarın "modülünün" (. PK), Sertifika İmzalama İsteği (. CSR) ve CA İmzalı Sertifika (. CRT) hepsi eşleşir.

openssl rsa  -noout -modulus -in unity-cert.pk  | sha256sum
openssl req  -noout -modulus -in unity-cert.csr | sha256sum
openssl x509 -noout -modulus -in unity-cert.crt | sha256sum