Data Domain: Generere CSR utenfor DD

I de fleste tilfeller bør du bruke denne kunnskapsartikkelen til å generere CSR og få sertifikater importert:

Data Domain – administrere vertssertifikater for HTTP og HTTPS

I sjeldne tilfeller brukes denne kunnskapsartikkelen når du ikke kan generere CSR på selve DD-en.

Import av et CA-signert sertifikat gir HTTPS-tilgang til Data Domain System Manager uten å måtte omgå nettleserkontroller for sertifikater som ikke er signert av en klarert tredjepart. Når den første SSL-tilkoblingen til DD GUI er etablert, er trafikken like beskyttet mot avlytting ved hjelp av enten et eksternt signert eller et selvsignert sertifikat, selskapet kan kreve at alle verter med SSL-tilgang har sertifikater signert av enten den interne CA eller en ekstern CA, for tillit.

For å opprette dette eksternt signerte sertifikatet er det forskjellige tilnærminger. Den vi anbefaler med DD OS 6.2.0.35 og nyere, er å benytte DD CLI-kommandoen "adminaccess certificate cert-signing-request generate" for å opprette en forespørsel om sertifikatsignering (CSR), som skal sendes til den valgte sertifiseringsinstansen for signering. Det signerte sertifikatet importeres deretter i DD for HTTPS. Du finner alle detaljene i KB-artikkelen Data Domain: Slik genererer du en forespørsel om sertifikatsignering og bruker eksternt signerte sertifikater

Den andre tilnærmingen vil være å bruke en separat vert i nettverket med et nylig sett med OpenSSL-biblioteker og binære filer installert for å generere CSR som skal signeres. Når det signerte sertifikatet er anskaffet, biter biter du det signerte sertifikatet og sertifikatets tilknyttede private nøkkel overføres til og importeres til DD. Denne prosessen er denne:    

1. Logg på Linux-, UNIX- eller en annen server med OpenSSL installert, og generer først et offentlig/privat nøkkelpar. DD genererer 2048 bitnøkler som standard, 1024 bitnøkler frarådes, og 4096 bitnøkler er kanskje litt for mye:    

# openssl genrsa -out hostkey.pem 2048
Generating RSA private key, 2048 bit long modulus
........+++
...+++
e is 65537 (0x10001)

2. Generer en forespørsel om sertifikatsignering (CSR) ved å bruke den private nøkkelen som ble produsert i det første trinnet, og oppgi detaljer i CSR-en som skal signeres, for eksempel vanlig navn, e-postadresse, land og by osv.

# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Merk enn i de fleste OpenSSL-installasjoner, blir ikke utvidelsen "subjectAltName", som er et obligatorisk krav i henhold til RFC 3280, lagt til CSR eller bedt om. Noen private og offentlige sertifiseringsinstanser kan nekte å behandle CSR på grunn av mangelen på denne utvidelsen. Når det gjelder et DD-sertifikat som brukes til det grafiske grensesnittet, må "subjectAltName" være FQDN for DD når det åpnes fra nettleseren.
 

For å spesifisere et "subjetAltName" når du oppretter CSR, hvis du bruker OpenSSL 1.1.1, kan dette gjøres fra selve "OpenSSL" -kommandolinjen. Hvis ikke, medfører dette endring av /etc/ssl/openssl.cnf, som er utenfor omfanget av dette dokumentet. Hvis du bruker OpenSSL 1.1.1 eller nyere:    

# openssl version
OpenSSL 1.1.1  11 Sep 2018
# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr -addext "subjectAltName = DNS:www.example.com"
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

3. Hent CSR-filen "host_csr.csr" og last opp til den tilsvarende sertifiseringsinstansen for signering. Hvis sertifiseringsinstansen er intern, gir du den til CA-administratoren eller signerer den gjennom den vanlige prosessen (som må bruke en kommandolinje som den nedenfor):   

# openssl x509 -req -in host_csr.csr -CA CA/cacert.pem -CAkey CA/cakey.pem -out host_cert.pem -CAcreateserial
Signature ok
subject=/C=CH/ST=California/L=San Francisco/O=Example Inc./OU=IT Department/CN=www.example.com/emailAddress=webmaster@example.com
Getting CA Private Key

# openssl x509 -in host_cert.pem -text -noout | grep -A1 "Subject Alternative Name"
            X509v3 Subject Alternative Name:
                DNS:www.example.com

4.  Uansett vil resultatet vanligvis være en .pem- eller .cer-kodet sertifikatfil ("host_cert.pem" i eksemplet). For at sertifikatet skal importeres i DD, må det være samlet i et PKCS#12-format sammen med (privat)nøkkelen som genereres i det første trinnet. Fra samme vert som det første trinnet ble kjørt:    

# openssl.exe pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -out host.p12 -inkey hostkey.pem -in host_cert.pem

Enter Export Password:
Verifying - Enter Export Password:

Det er viktig å angi et passord for PKCS#12-filen, ellers vil sertifikatimporten mislykkes på datadomenet. Du blir ikke bedt om å oppgi passordet ved normal bruk av Data Domain etter at sertifiseringen er installert. Argumentene '-keypbe PBE-SHA1-3DES' og '-certpbe PBE-SHA1-3DES' er for å sikre at den støttede algoritmen til "PBE-SHA1-3DES" brukes når du endrer CA. Dette forhindrer at sluttbrukeren får en feilmelding når han/hun prøver å importere det signerte sertifikatet.

5. Kopier den resulterende "host.p12"-sertifikatfilen til "/ddr/var/certificates/"-mappen på Data Domain (for eksempel ved å bruke SCP til DD).

6. Før du importerer det eksternt genererte og signerte sertifikatet til Data Domain, må du kontrollere at Data Domain ikke har en eksisterende CSR. Data Domain vil prøve å matche det importerte sertifikatet med en hvilken som helst CSR på systemet, og hvis det finnes, vil det ikke samsvare og vil nekte å laste det importerte sertifikatet med følgende feilmelding:    

Imported host certificate does not match the generated CSR

Bekreft om det finnes en eksisterende CSR på systemet:    

# adminaccess certificate cert-signing-request show

Hvis det finnes en eksisterende CSR, kan du fortsette å slette den før du går videre, ellers vil sertifikatimporten mislykkes:    

# adminaccess certificate cert-signing-request delete

7. Importer det nye sertifikatet fra CLI. Oppgi passordet som ble brukt til å opprette PKCS#12 i forrige trinn, og bruk "application https" for å bruke det importerte sertifikatet for DD System Manager eller DDMC GUI:    

# adminaccess certificate import host application https file host.p12
Enter password:
**   Importing the certificate will restart the http/https services and currently active http/https user sessions will be terminated.
        Do you want to import this certificate? (yes|no) [yes]: yes
Host certificate imported for applications(s) : "https".

Merk: "adminaccess certificate show" skal nå inneholde et importert vertssertifikat for HTTPS. Standard selvsignert sertifikat for https merkes som Ikke i bruk.