Data Domain: Generering af CSR uden for DD

I de fleste tilfælde vil du bruge denne KB til at generere CSR og få certifikater importeret:

Data Domain – Administration af værtscertifikater for HTTP og HTTPS

I sjældnere tilfælde bruges denne KB, når du ikke kan generere CSR på selve DD.

Import af et CA-signeret certifikat giver HTTPS-adgang til Data Domain System Manager uden at skulle omgå browserens kontrol af certifikater, der ikke er signeret af en betroet tredjepart. Når den første SSL-forbindelse til DD GUI er etableret, er trafikken ligeledes beskyttet mod aflytning ved hjælp af enten et eksternt signeret eller et selvsigneret certifikat, virksomheden kan kræve, at alle værter med SSL-adgang har certifikater underskrevet af enten den interne CA eller en ekstern CA for tillid.

Til oprettelse af dette eksternt signerede certifikat er der forskellige tilgange. Den, vi anbefaler med DD OS 6.2.0.35 og nyere, er at benytte DD CLI-kommandoen "adminaccess certificate cert-signing-request generate" til at oprette en anmodning om certifikatsignering (CSR), som skal sendes til det valgte CA til signering. Det signerede certifikat importeres derefter i DD til HTTPS. Alle oplysninger findes i KB-artiklen Data Domain: Sådan genererer du en anmodning om certifikatsignering og bruger eksternt signerede certifikater

Den anden tilgang ville være at bruge en separat vært i netværket med et nyligt sæt OpenSSL-biblioteker og binære filer installeret for at generere CSR, der skal underskrives. Når det signerede certifikat er opnået, skal du bitte det signerede certifikat og certifikatets tilknyttede private nøgle og manuelt overføres til og importere til DD. Denne proces er denne:    

1. Log ind på Linux, UNIX eller en anden server med OpenSSL installeret, og generer først et offentligt/privat nøglepar. DD genererer 2048 bit nøgler som standard, 1024 bit nøgler frarådes, og 4096 bit nøgler er måske lidt for meget:    

# openssl genrsa -out hostkey.pem 2048
Generating RSA private key, 2048 bit long modulus
........+++
...+++
e is 65537 (0x10001)

2. Generer en anmodning om certifikatsignering (CSR) ved hjælp af den private nøgle, der blev produceret i det første trin, og angiv detaljer i CSR, der skal underskrives, såsom almindeligt navn, e-mail-adresse, land og by osv.

# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Bemærk end i de fleste OpenSSL-installationer tilføjes udvidelsen "subjectAltName", som er et obligatorisk krav i henhold til RFC 3280, ikke til CSR eller bedt om. Nogle private og offentlige CA'er kan nægte at behandle CSR på grund af manglen på denne udvidelse. I tilfælde af et DD-certifikat, der bruges til GUI, skal "subjectAltName" være FQDN for DD, når der åbnes fra browseren.
 

For at angive et "subjetAltName", når du opretter CSR, hvis du bruger OpenSSL 1.1.1, kan dette gøres fra selve kommandolinjen "OpenSSL". Hvis ikke, medfører dette ændring af /etc/ssl/openssl.cnf, hvilket ligger uden for dette dokuments anvendelsesområde. Hvis du bruger OpenSSL 1.1.1 eller nyere:    

# openssl version
OpenSSL 1.1.1  11 Sep 2018
# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr -addext "subjectAltName = DNS:www.example.com"
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

3. Hent CSR-filen "host_csr.csr" og upload til den tilsvarende CA til signering. Hvis nøglecenteret er internt, skal du give det til CA-administratoren eller signere det gennem den normale proces (som skal bruge en kommandolinje som den nedenfor):   

# openssl x509 -req -in host_csr.csr -CA CA/cacert.pem -CAkey CA/cakey.pem -out host_cert.pem -CAcreateserial
Signature ok
subject=/C=CH/ST=California/L=San Francisco/O=Example Inc./OU=IT Department/CN=www.example.com/emailAddress=webmaster@example.com
Getting CA Private Key

# openssl x509 -in host_cert.pem -text -noout | grep -A1 "Subject Alternative Name"
            X509v3 Subject Alternative Name:
                DNS:www.example.com

4.  Under alle omstændigheder vil resultatet typisk være en .pem- eller .cer-kodet certifikatfil ("host_cert.pem" i eksemplet). Hvis certifikatet skal importeres i DD, skal det være samlet i PKCS#12-format sammen med den (private) nøgle, der blev genereret i første trin. Fra den samme vært, hvor det første trin blev kørt:    

# openssl.exe pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -out host.p12 -inkey hostkey.pem -in host_cert.pem

Enter Export Password:
Verifying - Enter Export Password:

Det er vigtigt at angive en adgangskode til PKCS#12-filen, ellers mislykkes certifikatimporten på Data Domain. Der bliver ikke bedt om adgangskoden, når du bruger Data Domain normalt, efter certificeringen er blevet installeret. Argumenterne '-keypbe PBE-SHA1-3DES' og '-certpbe PBE-SHA1-3DES' skal sikre, at den understøttede algoritme for "PBE-SHA1-3DES" bruges, når CA ændres. Dette vil undgå, at slutbrugeren får en fejl, når de forsøger at importere deres signerede certifikat.

5. Kopiér den resulterende "host.p12"-certifikatfil til mappen "/ddr/var/certificates/" på Data Domain (f.eks. ved hjælp af SCP til DD).

6. Før du importerer det eksternt genererede og signerede certifikat til Data Domain, skal du bekræfte, at Data Domain ikke har en eksisterende CSR. Data Domain vil forsøge at matche det importerede certifikat med enhver CSR på systemet, og hvis der findes en, vil det ikke matche og vil nægte at indlæse det importerede certifikat med følgende fejlmeddelelse:    

Imported host certificate does not match the generated CSR

Kontrollér, om der er en eksisterende CSR på systemet:    

# adminaccess certificate cert-signing-request show

Hvis der er en eksisterende CSR, skal du fortsætte med at slette den, før du fortsætter, ellers mislykkes certifikatimporten:    

# adminaccess certificate cert-signing-request delete

7. Importer det nye certifikat fra CLI. Angiv den adgangskode, der blev brugt til at oprette PKCS#12 i det forrige trin, og brug "application https" til at bruge det importerede certifikat til DD System Manager eller DDMC GUI:    

# adminaccess certificate import host application https file host.p12
Enter password:
**   Importing the certificate will restart the http/https services and currently active http/https user sessions will be terminated.
        Do you want to import this certificate? (yes|no) [yes]: yes
Host certificate imported for applications(s) : "https".

Bemærk: "adminaccess certificate show" bør nu vise et importeret værtscertifikat til https. Det selvsignerede standardcertifikat for https markeres som Ikke i brug.