Data Domain: CSR:n luominen DD:n ulkopuolella

Useimmiten tätä tietämyskannan artikkelia kannattaa käyttää CSR:n luomiseen ja varmenteiden tuontiin:

Data Domain - HTTP- ja HTTPS-isäntävarmenteiden hallinta

Harvemmissa tapauksissa tätä tietämyskannan artikkelia käytetään, kun et voi luoda CSR:ää itse DD:ssä.

CA-allekirjoitetun varmenteen tuominen sallii HTTPS-pääsyn Data Domain System Manageriin ilman, että selainta tarvitsee ohittaa sellaisten varmenteiden varalta tehtäviä tarkistuksia, jotka eivät ole luotetun kolmannen osapuolen allekirjoittamia. Kun ensimmäinen SSL-yhteys DD-käyttöliittymään on muodostettu, liikenne on yhtä lailla suojattu salakuuntelulta käyttämällä joko ulkoisesti allekirjoitettua tai itse allekirjoitettua varmennetta, yritys voi vaatia, että kaikilla SSL-yhteyttä käyttävillä isännillä on joko sisäisen varmentajan tai ulkoisen varmenteen myöntäjän allekirjoittamat varmenteet luottamuksen vuoksi.

Tämän ulkoisesti allekirjoitetun varmenteen luomiseen on useita lähestymistapoja. DD OS 6.2.0.35 -versiossa ja uudemmissa suositellaan DD-komentoriviliittymän komentoa adminaccess certificate cert-signing-request generate, jolla luodaan varmenteen allekirjoituspyyntö (CSR), joka on lähetettävä allekirjoitettavaksi valitsemallesi varmentajalle. Allekirjoitettu varmenne tuodaan sitten HTTPS-DD:hen. Kaikki yksityiskohdat näkyvät tietämyskannan artikkelissa Data Domain: Varmenteen allekirjoituspyynnön luominen ja ulkoisesti allekirjoitettujen varmenteiden

käyttäminenToinen lähestymistapa olisi käyttää erillistä isäntää verkossa, johon on äskettäin asennettu joukko OpenSSL-kirjastoja ja binäärejä allekirjoitettavan CSR: n luomiseksi. Kun allekirjoitettu varmenne on saatu, bitin allekirjoitettu varmenne ja siihen liittyvä yksityinen avain siirretään ja tuodaan manuaalisesti DD:hen. Tämä prosessi on seuraava:    

1. Kirjaudu Linux- tai UNIX-palvelimeen tai muuhun palvelimeen, johon on asennettu OpenSSL, ja luo ensin julkinen/yksityinen avainpari. DD luo oletusarvoisesti 2048-bittisiä avaimia, 1024-bittisiä avaimia ei suositella ja 4096-bittiset avaimet ovat ehkä hieman liikaa:    

# openssl genrsa -out hostkey.pem 2048
Generating RSA private key, 2048 bit long modulus
........+++
...+++
e is 65537 (0x10001)

2. Luo varmenteen allekirjoituspyyntö (CSR) käyttämällä ensimmäisessä vaiheessa tuotettua yksityistä avainta ja anna allekirjoitettavassa CSR: ssä tiedot, kuten yleinen nimi, sähköpostiosoite, maa ja kaupunki jne.

# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Huomaa, että useimmissa OpenSSL-asennuksissa "subjectAltName" -laajennusta, joka on pakollinen vaatimus RFC 3280: n mukaisesti, ei lisätä CSR: ään tai pyydetä. Jotkut yksityiset ja julkiset toimivaltaiset viranomaiset voivat kieltäytyä käsittelemästä maakohtaista suositusta tämän pidennyksen puuttumisen vuoksi. Jos kyseessä on graafisessa käyttöliittymässä käytettävä DD-varmenne, subjectAltName-nimen on oltava DD:n täydellinen toimialuenimi, kun sitä käytetään selaimessa.
 

Jos haluat määrittää "subjetAltName" CSR: ää luotaessa, jos käytät OpenSSL 1.1.1: tä, tämä voidaan tehdä itse "OpenSSL" -komentoriviltä. Jos näin ei ole, tiedostoa /etc/ssl/openssl.cnf ei muuteta, mikä ei kuulu tämän asiakirjan piiriin. Jos käytössä on OpenSSL 1.1.1 tai uudempi:    

# openssl version
OpenSSL 1.1.1  11 Sep 2018
# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr -addext "subjectAltName = DNS:www.example.com"
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

3. Hanki CSR-tiedosto "host_csr.csr" ja lataa se vastaavaan varmentajaan allekirjoittamista varten. Jos varmenteiden myöntäjä on sisäinen, anna se varmenteiden myöntäjän järjestelmänvalvojalle tai allekirjoita se normaalin prosessin kautta (jonka on käytettävä alla olevan kaltaista komentoriviä):   

# openssl x509 -req -in host_csr.csr -CA CA/cacert.pem -CAkey CA/cakey.pem -out host_cert.pem -CAcreateserial
Signature ok
subject=/C=CH/ST=California/L=San Francisco/O=Example Inc./OU=IT Department/CN=www.example.com/emailAddress=webmaster@example.com
Getting CA Private Key

# openssl x509 -in host_cert.pem -text -noout | grep -A1 "Subject Alternative Name"
            X509v3 Subject Alternative Name:
                DNS:www.example.com

4.  Joka tapauksessa tuloksena on yleensä .pem- tai .cer-koodattu varmennetiedosto ("esimerkissä host_cert.pem"). Jotta varmenne voidaan tuoda DD:hen, se on pakattava PKCS#12-muodossa ensimmäisessä vaiheessa luodun (yksityisen) avaimen viereen. Samasta isännästä, jossa ensimmäinen vaihe suoritettiin:    

# openssl.exe pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -out host.p12 -inkey hostkey.pem -in host_cert.pem

Enter Export Password:
Verifying - Enter Export Password:

On tärkeää asettaa salasana PKCS#12-tiedostolle, muuten varmenteen tuonti epäonnistuu Data Domainissa. Salasanaa ei kysytä, kun Data Domainia käytetään normaalisti sertifioinnin asentamisen jälkeen. Argumenttien '-keypbe PBE-SHA1-3DES' ja '-certpbe PBE-SHA1-3DES' tarkoituksena on varmistaa, että tuettua PBE-SHA1-3DES-algoritmia käytetään varmenteiden myöntäjän muokkaamisessa. Näin loppukäyttäjä ei saa virheilmoitusta yrittäessään tuoda allekirjoitettua varmennetta.

5. Kopioi tuloksena saatava host.p12-varmennetiedosto Data Domainin /ddr/var/certificates/-hakemistoon (esimerkiksi SCP:n käyttäminen DD:hen).

6. Varmista ennen ulkoisesti luodun ja allekirjoitetun varmenteen tuomista Data Domainiin, että Data Domainissa ei ole aiemmin luotua CSR:ää. Data Domain yrittää verrata tuotua varmennetta mihin tahansa järjestelmän CSR:ään, ja jos sellainen on olemassa, se ei vastaa eikä lataa tuotua varmennetta ja saa seuraavan virhesanoman:    

Imported host certificate does not match the generated CSR

Tarkista, onko järjestelmässä jo CSR:    

# adminaccess certificate cert-signing-request show

Jos CSR on olemassa, poista se ennen kuin jatkat, tai muuten varmenteen tuonti epäonnistuu:    

# adminaccess certificate cert-signing-request delete

7. Tuo uusi varmenne komentoriviliittymästä. Anna salasana, jolla PKCS #12 luotiin edellisessä vaiheessa, ja käytä tuotua varmennetta DD System Managerissa tai DDMC-käyttöliittymässä application https -komennolla:    

# adminaccess certificate import host application https file host.p12
Enter password:
**   Importing the certificate will restart the http/https services and currently active http/https user sessions will be terminated.
        Do you want to import this certificate? (yes|no) [yes]: yes
Host certificate imported for applications(s) : "https".

Huomautus: AdminAccess Certificate show -kohdassa pitäisi nyt näkyä tuotu isäntävarmenne HTTPS:lle. Oletusarvoisen itse allekirjoitetun https-varmenteen tilaksi merkitään Ei käytössä.