Data Domain: Generazione di CSR al di fuori di DD

Nella maggior parte dei casi si consiglia di utilizzare questo articolo della KB per generare la CSR e ottenere i certificati importati:

Data Domain - Gestione dei certificati host per HTTP e HTTPS

In casi più rari, questo articolo della KB viene utilizzato quando non è possibile generare la CSR su DD stesso.

L'importazione di un certificato firmato dalla CA consente l'accesso HTTPS a Data Domain System Manager senza dover ignorare i controlli del browser per i certificati non firmati da terze parti affidabili. Una volta stabilita la prima connessione SSL alla GUI di DD, il traffico è ugualmente protetto dalle intercettazioni utilizzando un certificato firmato esternamente o autofirmato. L'azienda può richiedere che tutti gli host con accesso SSL dispongano di certificati firmati dalla CA interna o da una CA esterna, per l'affidabilità.

Per la creazione di questo certificato firmato esternamente, sono disponibili vari approcci. Con DD OS 6.2.0.35 e versioni successive, si consiglia di avvalersi del comando della CLI DD "adminaccess certificate cert-signing-request generate" per creare una richiesta di firma del certificato (CSR) da inviare alla CA scelta per la firma. Il certificato firmato viene quindi importato in DD per HTTPS. Tutti i dettagli sono disponibili nell'articolo della Knowledge Base Data Domain: Come generare una richiesta di firma di certificato e utilizzare certificati

firmati esternamenteL'altro approccio consiste nell'utilizzare un host separato nella rete con un set recente di librerie e binari OpenSSL installati per generare la CSR da firmare. Una volta ottenuto il certificato firmato, il certificato firmato e la chiave privata associata al certificato vengono trasferiti manualmente e importati in DD. Il processo è il seguente:    

1. Accedere a Linux, UNIX o a un altro server con OpenSSL installato e generare prima una coppia di chiavi pubblica/privata. Il DD genera chiavi a 2048 bit per impostazione predefinita, le chiavi a 1024 bit sono sconsigliate e le chiavi a 4096 bit sono forse un po' troppe:    

# openssl genrsa -out hostkey.pem 2048
Generating RSA private key, 2048 bit long modulus
........+++
...+++
e is 65537 (0x10001)

2. Generare una richiesta di firma del certificato (CSR) utilizzando la chiave privata prodotta nel primo passaggio e fornire i dettagli nella CSR da firmare, ad esempio nome comune, indirizzo e-mail, paese e città e così via.

# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Si noti che nella maggior parte delle installazioni OpenSSL , l'estensione "subjectAltName", che è un requisito obbligatorio secondo RFC 3280, non viene aggiunta alla CSR o richiesta. Alcune CA pubbliche e private potrebbero rifiutarsi di elaborare la CSR a causa della mancanza di questa estensione. Nel caso di un certificato DD utilizzato per la GUI, "subjectAltName" deve essere l FQDN per il DD quando si accede dal browser.
 

Per specificare un "subjetAltName" durante la creazione della CSR, se si utilizza OpenSSL 1.1.1, questa operazione può essere eseguita dalla riga di comando "OpenSSL" stessa. In caso contrario, è necessario modificare il file /etc/ssl/openssl.cnf, che esula dall'ambito di questo documento. Se si utilizza OpenSSL 1.1.1 o versione successiva:    

# openssl version
OpenSSL 1.1.1  11 Sep 2018
# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr -addext "subjectAltName = DNS:www.example.com"
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

3. Ottenere il file CSR "host_csr.csr" e caricarlo nella CA corrispondente per la firma. Se la CA è interna, fornirla all'amministratore della CA o firmarla tramite il normale processo (che dovrebbe utilizzare una riga di comando come quella riportata di seguito):   

# openssl x509 -req -in host_csr.csr -CA CA/cacert.pem -CAkey CA/cakey.pem -out host_cert.pem -CAcreateserial
Signature ok
subject=/C=CH/ST=California/L=San Francisco/O=Example Inc./OU=IT Department/CN=www.example.com/emailAddress=webmaster@example.com
Getting CA Private Key

# openssl x509 -in host_cert.pem -text -noout | grep -A1 "Subject Alternative Name"
            X509v3 Subject Alternative Name:
                DNS:www.example.com

4.  In ogni caso, il risultato sarà in genere un file di certificato con codifica .pem o .cer ("host_cert.pem" nell'esempio). Affinché il certificato venga importato in DD, deve essere bundled in un formato PKCS#12 insieme alla chiave (privata) generata nel primo passaggio. Dallo stesso host in cui è stato eseguito il primo passaggio:    

# openssl.exe pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -out host.p12 -inkey hostkey.pem -in host_cert.pem

Enter Export Password:
Verifying - Enter Export Password:

È fondamentale impostare una password per il file PKCS#12, altrimenti l'importazione del certificato avrà esito negativo su Data Domain. La password non verrà richiesta quando si utilizza Data Domain normalmente dopo l'installazione della certificazione. Gli argomenti "-keypbe PBE-SHA1-3DES" e "-certpbe PBE-SHA1-3DES" servono a garantire che venga utilizzato l'algoritmo supportato di "PBE-SHA1-3DES" durante la modifica della CA. In questo modo si eviterà che l'utente finale riceva un errore durante il tentativo di importare il certificato firmato.

5. Copiare il file di certificato "host.p12" risultante nella directory "/ddr/var/certificates/" su Data Domain (ad esempio, utilizzando SCP su DD).

6. Prima di importare il certificato generato e firmato esternamente in Data Domain, verificare che Data Domain non disponga di una CSR esistente. Data Domain tenterà di abbinare il certificato importato a qualsiasi CSR sul sistema e, se presente, non corrisponderà e rifiuterà di caricare il certificato importato con il seguente messaggio di errore:    

Imported host certificate does not match the generated CSR

Verificare se nel sistema è presente una CSR:    

# adminaccess certificate cert-signing-request show

Se è presente una CSR esistente, procedere a eliminarla prima di procedere, altrimenti l'importazione del certificato avrà esito negativo:    

# adminaccess certificate cert-signing-request delete

7. Importare il nuovo certificato dalla CLI. Fornire la password utilizzata per creare PKCS#12 nel passaggio precedente e utilizzare "application https" per utilizzare il certificato importato per la GUI di DD System Manager o DDMC:    

# adminaccess certificate import host application https file host.p12
Enter password:
**   Importing the certificate will restart the http/https services and currently active http/https user sessions will be terminated.
        Do you want to import this certificate? (yes|no) [yes]: yes
Host certificate imported for applications(s) : "https".

Nota: "adminaccess certificate show" dovrebbe ora elencare un certificato host importato per HTTPS. Il certificato autofirmato predefinito per https verrà indicato come Non in uso.