Data Domain: Generování CSR mimo DD

Ve většině případů budete chtít tento článek znalostní databáze použít ke generování CSR a importu certifikátů:

Data Domain – Správa certifikátů hostitele pro protokoly HTTP a HTTPS

Ve vzácnějších případech se tento článek znalostní databáze používá, když nelze vygenerovat CSR v samotném systému DD.

Import certifikátu podepsaného certifikační autoritou umožňuje přístup HTTPS k nástroji Data Domain System Manager, aniž by bylo nutné obejít kontroly certifikátů nepodepsaných důvěryhodnou třetí stranou v prohlížeči. Jakmile je navázáno první připojení SSL ke grafickému uživatelskému rozhraní DD, provoz je stejně chráněn před odposloucháváním pomocí externě podepsaného certifikátu nebo certifikátu podepsaného držitelem. Společnost může vyžadovat, aby všichni hostitelé s přístupem SSL měli certifikáty podepsané interní nebo externí certifikační autoritou z důvodu důvěryhodnosti.

Pro vytvoření tohoto externě podepsaného certifikátu existují různé přístupy. V systému DD OS 6.2.0.35 a novějším doporučujeme použít příkaz DD CLI "adminaccess certificate cert-signing-request generate" k vytvoření žádosti o podpis certifikátu (CSR), která bude odeslána vybrané certifikační autoritě k podepsání. Podepsaný certifikát se pak importuje do systému DD pro protokol HTTPS. Všechny podrobnosti jsou uvedeny v článku znalostní databáze Data Domain: Jak vygenerovat žádost o podpis certifikátu a použít externě podepsané certifikáty

Druhým přístupem je použití samostatného hostitele v síti s nejnovější sadou knihoven OpenSSL a binárních souborů nainstalovaných pro generování CSR, který se má podepsat. Po získání podepsaného certifikátu proveďte bit podepsaného certifikátu a přidružený soukromý klíč certifikátu a ručně jej přeneste do systému DD a importujte jej do systému DD. Tento proces je tento:    

1. Přihlaste se k Linuxu, UNIXu nebo jinému serveru s nainstalovaným softwarem OpenSSL a nejprve vygenerujte pár veřejného a privátního klíče. Systém DD ve výchozím nastavení generuje 2048bitové klíče, 1024bitové klíče se nedoporučují a 4096bitové klíče jsou možná trochu moc:    

# openssl genrsa -out hostkey.pem 2048
Generating RSA private key, 2048 bit long modulus
........+++
...+++
e is 65537 (0x10001)

2. Vygenerujte žádost o podpis certifikátu (CSR) pomocí soukromého klíče vytvořeného v prvním kroku a v požadavku CSR, který chcete podepsat, uveďte podrobnosti, jako je běžné jméno, e-mailová adresa, země a město atd.

# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Všimněte si, že ve většině instalací OpenSSL se rozšíření "subjectAltName", které je povinným požadavkem podle RFC 3280, nepřidá do CSR ani o něj nebude požádáno. Některé soukromé a veřejné certifikační autority mohou odmítnout zpracování CSR z důvodu neexistence tohoto rozšíření. V případě certifikátu DD použitého pro grafické uživatelské rozhraní musí být "subjectAltName" plně kvalifikovaným názvem domény systému DD při přístupu z prohlížeče.
 

Chcete-li při vytváření CSR zadat "subjetAltName", pokud používáte OpenSSL 1.1.1, můžete to provést ze samotného příkazového řádku "OpenSSL". Pokud ne, dojde ke změně souboru /etc/ssl/openssl.cnf, což je nad rámec tohoto dokumentu. Pokud používáte OpenSSL 1.1.1 nebo novější:    

# openssl version
OpenSSL 1.1.1  11 Sep 2018
# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr -addext "subjectAltName = DNS:www.example.com"
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

3. Získejte soubor CSR "host_csr.csr" a nahrajte jej odpovídající certifikační autoritě k podepsání. Pokud se jedná o interní certifikační autoritu, předejte ji správci certifikační autority nebo ji podepište běžným procesem (který by musel použít příkazový řádek, například uvedený níže):   

# openssl x509 -req -in host_csr.csr -CA CA/cacert.pem -CAkey CA/cakey.pem -out host_cert.pem -CAcreateserial
Signature ok
subject=/C=CH/ST=California/L=San Francisco/O=Example Inc./OU=IT Department/CN=www.example.com/emailAddress=webmaster@example.com
Getting CA Private Key

# openssl x509 -in host_cert.pem -text -noout | grep -A1 "Subject Alternative Name"
            X509v3 Subject Alternative Name:
                DNS:www.example.com

4.  V každém případě bude výsledkem obvykle soubor certifikátu s kódováním .pem nebo .cer (v příkladu "host_cert.pem"). Aby bylo možné certifikát importovat do systému DD, je nutné jej zabalit do balíčku ve formátu PKCS#12 spolu s (soukromým) klíčem vygenerovaným v prvním kroku. Ze stejného hostitele, kde byl spuštěn první krok:    

# openssl.exe pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -out host.p12 -inkey hostkey.pem -in host_cert.pem

Enter Export Password:
Verifying - Enter Export Password:

Pro soubor PKCS#12 je důležité nastavit heslo, jinak se import certifikátu v systému Data Domain nezdaří. Při běžném používání systému Data Domain po instalaci certifikace se již nezobrazí výzva k zadání hesla. Argumenty '-keypbe PBE-SHA1-3DES' a '-certpbe PBE-SHA1-3DES' mají zajistit, aby byl při úpravách certifikační autority použit podporovaný algoritmus "PBE-SHA1-3DES". Předejdete tak tomu, aby se koncovému uživateli při pokusu o import podepsaného certifikátu zobrazila chyba.

5. Zkopírujte výsledný soubor certifikátu "host.p12" do adresáře "/ddr/var/certificates/" v systému Data Domain (například pomocí SCP do systému DD).

6. Před importem externě vygenerovaného a podepsaného certifikátu do systému Data Domain ověřte, že systém Data Domain nemá požadavek CSR. Systém Data Domain se pokusí spárovat importovaný certifikát s libovolným požadavkem CSR v systému. Pokud existuje, importovaný certifikát se neshoduje a odmítne jej načíst s následující chybovou zprávou:    

Imported host certificate does not match the generated CSR

Ověřte, zda v systému existuje požadavek CSR:    

# adminaccess certificate cert-signing-request show

Pokud existuje požadavek CSR, před pokračováním pokračujte v jeho odstranění, jinak se import certifikátu nezdaří:    

# adminaccess certificate cert-signing-request delete

7. Importujte nový certifikát z rozhraní příkazového řádku. Zadejte heslo použité k vytvoření PKCS#12 v předchozím kroku a pomocí příkazu "application https" použijte importovaný certifikát pro nástroj DD System Manager nebo grafické uživatelské rozhraní DDMC:    

# adminaccess certificate import host application https file host.p12
Enter password:
**   Importing the certificate will restart the http/https services and currently active http/https user sessions will be terminated.
        Do you want to import this certificate? (yes|no) [yes]: yes
Host certificate imported for applications(s) : "https".

Poznámka: "AdminAccess Certificate Show" by nyní měla obsahovat importovaný certifikát hostitele pro protokol HTTPS. Výchozí certifikát podepsaný svým držitelem pro https bude označen jako Nepoužívaný.