Data Domain: MVO genereren buiten het DD

In de meeste gevallen wilt u deze KB gebruiken voor het genereren van de CSR en het importeren van certificaten:

Data Domain - Hostcertificaten voor HTTP en HTTPS beheren

In zeldzamere gevallen wordt deze KB gebruikt wanneer u de CSR niet op het DD zelf kunt genereren.

Als u een CA-ondertekend certificaat importeert, krijgt u HTTPS-toegang tot Data Domain System Manager zonder dat u de browser hoeft te controleren op certificaten die niet zijn ondertekend door een vertrouwde derde partij. Zodra de eerste SSL-verbinding met de DD GUI tot stand is gebracht, is het verkeer in gelijke mate beschermd tegen afluisteren met behulp van een extern ondertekend of een zelfondertekend certificaat. Het bedrijf kan eisen dat alle hosts met SSL-toegang certificaten hebben die zijn ondertekend door de interne CA of een externe CA, voor vertrouwen.

Er zijn verschillende benaderingen voor het maken van dit extern ondertekende certificaat. De opdracht die we aanbevelen voor DD OS 6.2.0.35 en hoger is om gebruik te maken van de DD CLI-opdracht "adminaccess certificate cert-signing-request generate" om een CSR (Certificate Signing Request) te maken, die ter ondertekening moet worden ingediend bij de CA van uw keuze. Het ondertekende certificaat wordt vervolgens geïmporteerd in het DD voor HTTPS. Alle details zijn te zien in het KB-artikel Data Domain: Een certificaatondertekeningsaanvraag genereren en extern ondertekende certificaten

gebruikenDe andere benadering zou zijn om een aparte host in het netwerk te gebruiken met een recente set OpenSSL-bibliotheken en binaire bestanden geïnstalleerd om de te ondertekenen CSR te genereren. Zodra het ondertekende certificaat is verkregen, worden het ondertekende certificaat en de bijbehorende persoonlijke sleutel van het certificaat verwijderd en handmatig overgebracht naar en geïmporteerd in het DD. Dit proces is als volgt:    

1. Meld u aan bij de Linux-, UNIX- of andere server waarop OpenSSL is geïnstalleerd en genereer eerst een openbaar/privé-sleutelpaar. De DD genereert standaard 2048-bits sleutels, 1024-bits sleutels worden afgeraden en 4096-bits sleutels zijn misschien een beetje te veel:    

# openssl genrsa -out hostkey.pem 2048
Generating RSA private key, 2048 bit long modulus
........+++
...+++
e is 65537 (0x10001)

2. Genereer een CSR (Certificate Signing Request) met behulp van de persoonlijke sleutel die in de eerste stap is gegenereerd en geef details op in de CSR die moet worden ondertekend, zoals algemene naam, e-mailadres, land en plaats, enz.

# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Merk op dat in de meeste OpenSSL-installaties de extensie "subjectAltName", wat een verplichte vereiste is volgens RFC 3280, niet wordt toegevoegd aan de CSR of wordt gevraagd. Sommige particuliere en publieke CA's weigeren de CSR te verwerken vanwege het ontbreken van deze uitbreiding. In het geval van een DD-certificaat dat wordt gebruikt voor de GUI, moet de "subjectAltName" de FQDN zijn voor het DD wanneer het wordt geopend vanuit de browser.
 

Om een "subjetAltName" op te geven bij het maken van de CSR, als OpenSSL 1.1.1 wordt gebruikt, kan dit worden gedaan vanaf de "OpenSSL" opdrachtregel zelf. Als dit niet het geval is, moet de /etc/ssl/openssl.cnf worden gewijzigd, wat buiten het bestek van dit document valt. Bij gebruik van OpenSSL 1.1.1 of hoger:    

# openssl version
OpenSSL 1.1.1  11 Sep 2018
# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr -addext "subjectAltName = DNS:www.example.com"
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

3. Download het CSR-bestand "host_csr.csr" en upload het naar de bijbehorende CA voor ondertekening. Als de CA intern is, geeft u deze aan de CA-beheerder of ondertekent u deze via het normale proces (hiervoor moet u een opdrachtregel gebruiken, zoals hieronder):   

# openssl x509 -req -in host_csr.csr -CA CA/cacert.pem -CAkey CA/cakey.pem -out host_cert.pem -CAcreateserial
Signature ok
subject=/C=CH/ST=California/L=San Francisco/O=Example Inc./OU=IT Department/CN=www.example.com/emailAddress=webmaster@example.com
Getting CA Private Key

# openssl x509 -in host_cert.pem -text -noout | grep -A1 "Subject Alternative Name"
            X509v3 Subject Alternative Name:
                DNS:www.example.com

4.  In ieder geval is het resultaat meestal een .pem- of .cer-gecodeerd certificaatbestand ("host_cert.pem" in het voorbeeld). Om het certificaat in het DD te importeren, moet het worden gebundeld in een PKCS#12-indeling naast de (private) key die bij de eerste stap wordt gegenereerd. Vanaf dezelfde host waarop de eerste stap is uitgevoerd:    

# openssl.exe pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -out host.p12 -inkey hostkey.pem -in host_cert.pem

Enter Export Password:
Verifying - Enter Export Password:

Het is van cruciaal belang om een wachtwoord in te stellen voor het PKCS#12-bestand, anders mislukt het importeren van het certificaat op het Data Domain. Normaal gesproken nadat de certificering is geïnstalleerd, wordt er niet om het wachtwoord gevraagd bij gebruik van het Data Domain. De argumenten '-keypbe PBE-SHA1-3DES' en '-certpbe PBE-SHA1-3DES' zijn bedoeld om ervoor te zorgen dat het ondersteunde algoritme van "PBE-SHA1-3DES" wordt gebruikt bij het wijzigen van de CA. Dit voorkomt dat de eindgebruiker een foutmelding krijgt bij het importeren van het ondertekende certificaat.

5. Kopieer het resulterende bestand "host.p12" certificaat naar de map "/ddr/var/certificates/" op Data Domain (bijvoorbeeld met behulp van SCP naar het DD).

6. Voordat u het extern gegenereerde en ondertekende certificaat importeert naar Data Domain, moet u controleren of het Data Domain geen bestaande CSR heeft. Data Domain zal proberen het geïmporteerde certificaat te matchen met een CSR op het systeem, en als er een bestaat, komt het niet overeen en weigert het geïmporteerde certificaat te laden, met de volgende foutmelding:    

Imported host certificate does not match the generated CSR

Controleer of er een bestaande CSR op het systeem staat:    

# adminaccess certificate cert-signing-request show

Als er een bestaande CSR is, ga dan verder met het verwijderen ervan voordat u verder gaat, anders mislukt het importeren van het certificaat:    

# adminaccess certificate cert-signing-request delete

7. Importeer het nieuwe certificaat vanuit de CLI. Geef het wachtwoord op dat gebruikt is om de PKCS#12 te maken in de vorige stap, en gebruik "application https" om het geïmporteerde certificaat voor de DD System Manager of DDMC GUI te gebruiken:    

# adminaccess certificate import host application https file host.p12
Enter password:
**   Importing the certificate will restart the http/https services and currently active http/https user sessions will be terminated.
        Do you want to import this certificate? (yes|no) [yes]: yes
Host certificate imported for applications(s) : "https".

Opmerking: "AdminAccess certificate show" zou nu een geïmporteerd hostcertificaat voor HTTPS moeten weergeven. Het standaard zelfondertekende certificaat voor https wordt genoteerd als Not in use.