Data Domain: Generieren von CSR außerhalb der DD

In den meisten Fällen möchten Sie diesen Wissensdatenbank-Artikel zum Generieren der CSR und zum Importieren von Zertifikaten verwenden:

Data Domain – Managen von Hostzertifikaten für HTTP und HTTPS

In selteneren Fällen wird dieser Wissensdatenbank-Artikel verwendet, wenn Sie die CSR nicht auf der DD selbst erzeugen können.

Das Importieren eines von einer Zertifizierungsstelle signierten Zertifikats ermöglicht HTTPS-Zugriff auf Data Domain System Manager, ohne die Browserprüfungen auf Zertifikate umgehen zu müssen, die nicht von einem vertrauenswürdigen Drittanbieter signiert wurden. Sobald die erste SSL-Verbindung zur DD-GUI hergestellt ist, ist der Datenverkehr gleichermaßen vor Lauschangriffen geschützt, indem entweder ein extern signiertes oder ein selbstsigniertes Zertifikat verwendet wird. Das Unternehmen kann für alle Hosts mit SSL-Zugriff verlangen, dass Zertifikate entweder von der internen oder einer externen Zertifizierungsstelle signiert wurden, um Vertrauen zu gewährleisten.

Für die Erstellung dieses extern signierten Zertifikats gibt es verschiedene Ansätze. Für DD OS 6.2.0.35 und höher empfehlen wir, den DD-CLI-Befehl "adminaccess certificate cert-signing-request generate" zu verwenden, um eine Zertifikatsignieranforderung (CSR) zu erstellen, die zur Signierung an die Zertifizierungsstelle Ihrer Wahl gesendet wird. Das signierte Zertifikat wird dann in die DD für HTTPS importiert. Alle Details finden Sie im Wissensdatenbankartikel Data Domain: So erzeugen Sie eine Zertifikatsignieranforderung und verwenden extern signierte Zertifikate

Der andere Ansatz besteht darin, einen separaten Host im Netzwerk mit einem aktuellen Satz von OpenSSL-Bibliotheken und -Binärdateien zu verwenden, um die zu signierende CSR zu erzeugen. Sobald das signierte Zertifikat abgerufen wurde, bit Sie auf das signierte Zertifikat und den zugehörigen privaten Schlüssel und übertragen Sie es manuell in die DD und importieren Sie sie in die DD. Dieser Prozess sieht folgendermaßen aus:    

1. Melden Sie sich beim Linux-, UNIX- oder einem anderen Server mit installiertem OpenSSL an und erzeugen Sie zunächst ein öffentliches/privates Schlüsselpaar. Die DD generiert standardmäßig 2048-Bit-Schlüssel, 1024-Bit-Schlüssel werden nicht empfohlen und 4096-Bit-Schlüssel sind möglicherweise etwas zu viel:    

# openssl genrsa -out hostkey.pem 2048
Generating RSA private key, 2048 bit long modulus
........+++
...+++
e is 65537 (0x10001)

2. Erzeugen Sie eine Zertifikatsignieranforderung (CSR), indem Sie den im ersten Schritt erzeugten privaten Schlüssel verwenden, und geben Sie in der zu signierenden CSR Details an, z. B. gemeinsamen Namen, E-Mail-Adresse, Land und Ort usw.

# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Beachten Sie, dass in den meisten OpenSSL-Installationen die Erweiterung "subjectAltName", die gemäß RFC 3280 eine obligatorische Anforderung ist, nicht zur CSR hinzugefügt oder angefordert wird. Einige private und öffentliche Zertifizierungsstellen weigern sich möglicherweise, die CSR zu verarbeiten, da diese Erweiterung fehlt. Im Falle eines DD-Zertifikats, das für die GUI verwendet wird, muss "subjectAltName" der FQDN für die DD sein, wenn über den Browser darauf zugegriffen wird.
 

Um bei der Erstellung der CSR einen "subjetAltName" anzugeben, kann dies bei Verwendung von OpenSSL 1.1.1 über die Befehlszeile "OpenSSL" selbst erfolgen. Andernfalls müsste die Datei /etc/ssl/openssl.cnf geändert werden, was den Rahmen dieses Dokuments sprengen würde. Bei Verwendung von OpenSSL 1.1.1 oder höher:    

# openssl version
OpenSSL 1.1.1  11 Sep 2018
# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr -addext "subjectAltName = DNS:www.example.com"
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

3. Rufen Sie die CSR-Datei "host_csr.csr" ab und laden Sie sie zur Signierung in die entsprechende Zertifizierungsstelle hoch. Wenn die Zertifizierungsstelle intern ist, geben Sie sie an den CA-Administrator weiter oder signieren Sie sie über den normalen Prozess (der eine Befehlszeile wie die folgende verwenden müsste):   

# openssl x509 -req -in host_csr.csr -CA CA/cacert.pem -CAkey CA/cakey.pem -out host_cert.pem -CAcreateserial
Signature ok
subject=/C=CH/ST=California/L=San Francisco/O=Example Inc./OU=IT Department/CN=www.example.com/emailAddress=webmaster@example.com
Getting CA Private Key

# openssl x509 -in host_cert.pem -text -noout | grep -A1 "Subject Alternative Name"
            X509v3 Subject Alternative Name:
                DNS:www.example.com

4.  In jedem Fall ist das Ergebnis in der Regel eine .pem- oder .cer-codierte Zertifikatdatei (im Beispiel host_cert.pem). Damit das Zertifikat in die DD importiert werden kann, muss es in einem PKCS#12-Format zusammen mit dem im ersten Schritt erzeugten (privaten) Schlüssel gebündelt werden. Von demselben Host, auf dem der erste Schritt ausgeführt wurde:    

# openssl.exe pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -out host.p12 -inkey hostkey.pem -in host_cert.pem

Enter Export Password:
Verifying - Enter Export Password:

Es ist wichtig, ein Kennwort für die PKCS#12-Datei festzulegen, da sonst der Zertifikatimport auf der Data Domain fehlschlägt. Das Kennwort wird nicht abgefragt, wenn Data Domain nach der Installation der Zertifizierung normal verwendet wird. Mit den Argumenten "-keypbe PBE-SHA1-3DES" und "-certpbe PBE-SHA1-3DES" soll sichergestellt werden, dass der unterstützte Algorithmus "PBE-SHA1-3DES" beim Ändern der Zertifizierungsstelle verwendet wird. Dadurch wird vermieden, dass EndnutzerInnen beim Versuch, ihr signiertes Zertifikat zu importieren, eine Fehlermeldung erhalten.

5. Kopieren Sie die resultierende Zertifikatsdatei "host.p12" in das Verzeichnis "/ddr/var/certificates/" auf Data Domain (z. B. mit SCP auf die DD).

6. Vergewissern Sie sich vor dem Importieren des extern erzeugten und signierten Zertifikats in Data Domain, dass in Data Domain keine CSR vorhanden ist. Data Domain versucht, das importierte Zertifikat mit einer CSR auf dem System abzugleichen. Wenn eine vorhanden ist, stimmt sie nicht überein und verweigert das Laden des importierten Zertifikats mit der folgenden Fehlermeldung:    

Imported host certificate does not match the generated CSR

Überprüfen Sie, ob eine CSR auf dem System vorhanden ist:    

# adminaccess certificate cert-signing-request show

Wenn eine CSR vorhanden ist, löschen Sie sie, bevor Sie fortfahren. Andernfalls schlägt der Zertifikatimport fehl:    

# adminaccess certificate cert-signing-request delete

7. Importieren Sie das neue Zertifikat aus der CLI. Geben Sie das Kennwort an, das Sie im vorherigen Schritt zum Erstellen von PKCS#12 verwendet haben, und verwenden Sie "application https", um das importierte Zertifikat für den DD System Manager oder die DDMC-GUI zu verwenden:    

# adminaccess certificate import host application https file host.p12
Enter password:
**   Importing the certificate will restart the http/https services and currently active http/https user sessions will be terminated.
        Do you want to import this certificate? (yes|no) [yes]: yes
Host certificate imported for applications(s) : "https".

Hinweis: "adminaccess certificate show" sollte nun ein importiertes Hostzertifikat für HTTPS auflisten. Das selbstsignierte Standardzertifikat für HTTPS wird als Not in use notiert.