Data Domain: Generera CSR utanför DD

I de flesta fall vill du använda den här kunskapsbasartikeln för att generera CSR och importera certifikat:

Data Domain – Hantera värdcertifikat för HTTP och HTTPS

I sällsynta fall används den här KB:n när du inte kan generera CSR på själva DD:n.

Import av ett CA-signerat certifikat ger dig HTTPS-åtkomst till Data Domain System Manager utan att webbläsaren behöver förbigå sökningarna efter certifikat som inte signerats av en betrodd tredje part. När den första SSL-anslutningen till DD GUI har upprättats är trafiken lika skyddad från avlyssning med hjälp av antingen ett externt signerat eller ett självsignerat certifikat. Företaget kan kräva att alla värdar med SSL-åtkomst har certifikat signerade av antingen den interna certifikatutfärdaren eller en extern certifikatutfärdare för förtroende.

Det finns olika metoder för att skapa det här externt signerade certifikatet. Det vi rekommenderar med DD OS 6.2.0.35 och senare är att använda DD CLI-kommandot "adminaccess certificate cert-signing-request generate" för att skapa en CSR-begäran (Certificate Signing Request) som ska skickas till valfri certifikatutfärdare för signering. Det signerade certifikatet importeras sedan i DD för HTTPS. All information finns i KB-artikeln Data Domain: Så här genererar du en begäran om certifikatsignering och använder externt signerade certifikat

Det andra tillvägagångssättet är att använda en separat värd i nätverket med en ny uppsättning OpenSSL-bibliotek och binärfiler installerade för att generera CSR som ska signeras. När det signerade certifikatet har hämtats biter du det signerade certifikatet och certifikatets associerade privata nyckel och manuellt överför till och importerar till DD. Den här processen är denna:    

1. Logga in på Linux, UNIX eller en annan server med OpenSSL installerat och generera först ett offentligt/privat nyckelpar. DD genererar 2048-bitarsnycklar som standard, 1024-bitarsnycklar rekommenderas inte och 4096-bitarsnycklar är kanske lite för mycket:    

# openssl genrsa -out hostkey.pem 2048
Generating RSA private key, 2048 bit long modulus
........+++
...+++
e is 65537 (0x10001)

2. Generera en CSR-begäran (Certificate Signing Request) med hjälp av den privata nyckeln som skapades i det första steget och ange information i CSR som ska signeras, till exempel eget namn, e-postadress, land och stad, etc.

# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Observera att i de flesta OpenSSL-installationer läggs inte tillägget "subjectAltName", som är ett obligatoriskt krav enligt RFC 3280, till i CSR eller efterfrågas. Vissa privata och offentliga certifikatutfärdare kan vägra att behandla CSR på grund av att det här tillägget saknas. När det gäller ett DD-certifikat som används för det grafiska användargränssnittet måste "subjectAltName" vara FQDN för DD när det öppnas från webbläsaren.
 

Om du vill ange ett "subjetAltName" när du skapar CSR, om du använder OpenSSL 1.1.1, kan du göra det från själva kommandoraden "OpenSSL". Om inte, medför detta en ändring av /etc/ssl/openssl.cnf, vilket ligger utanför omfånget för det här dokumentet. Om du använder OpenSSL 1.1.1 eller senare:    

# openssl version
OpenSSL 1.1.1  11 Sep 2018
# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr -addext "subjectAltName = DNS:www.example.com"
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

3. Hämta CSR-filen "host_csr.csr" och ladda upp den till motsvarande certifikatutfärdare för signering. Om certifikatutfärdaren är intern ger du den till certifikatutfärdaradministratören eller signerar den genom den normala processen (som skulle behöva använda en kommandorad som den nedan):   

# openssl x509 -req -in host_csr.csr -CA CA/cacert.pem -CAkey CA/cakey.pem -out host_cert.pem -CAcreateserial
Signature ok
subject=/C=CH/ST=California/L=San Francisco/O=Example Inc./OU=IT Department/CN=www.example.com/emailAddress=webmaster@example.com
Getting CA Private Key

# openssl x509 -in host_cert.pem -text -noout | grep -A1 "Subject Alternative Name"
            X509v3 Subject Alternative Name:
                DNS:www.example.com

4.  I vilket fall som helst blir resultatet vanligtvis en .pem- eller .cer kodad certifikatfil ("host_cert.pem" i exemplet). För att certifikatet ska importeras i DD måste det paketeras i PKCS#12-format tillsammans med den (privata) nyckel som genererades i det första steget. Från samma värd där det första steget kördes:    

# openssl.exe pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -out host.p12 -inkey hostkey.pem -in host_cert.pem

Enter Export Password:
Verifying - Enter Export Password:

Det är viktigt att ange ett lösenord för PKCS#12-filen, annars misslyckas certifikatimporten på Data Domain. Lösenordet kommer inte att efterfrågas när Data Domain används normalt efter att certifieringen har installerats. Argumenten "-keypbe PBE-SHA1-3DES" och "-certpbe PBE-SHA1-3DES" är till för att säkerställa att den algoritm som stöds för "PBE-SHA1-3DES" används vid modifiering av certifikatutfärdaren. På så sätt undviker du att slutanvändaren får ett felmeddelande när han eller hon försöker importera sitt signerade certifikat.

5. Kopiera den resulterande "host.p12"-certifikatfilen till katalogen "/ddr/var/certificates/" på Data Domain (till exempel genom att använda SCP till DD).

6. Innan du importerar det externt genererade och signerade certifikatet till Data Domain ska du kontrollera att Data Domain inte har någon befintlig CSR. Data Domain försöker matcha det importerade certifikatet med någon CSR i systemet, men om det finns en sådan matchar den inte och nekar att läsa in det importerade certifikatet med följande felmeddelande:    

Imported host certificate does not match the generated CSR

Kontrollera om det finns en befintlig CSR i systemet:    

# adminaccess certificate cert-signing-request show

Om det finns en befintlig CSR fortsätter du med att ta bort den innan du går vidare, annars misslyckas certifikatimporten:    

# adminaccess certificate cert-signing-request delete

7. Importera det nya certifikatet från CLI. Ange lösenordet som användes för att skapa PKCS#12 i föregående steg och använd "application https" för att använda det importerade certifikatet för DD System Manager eller DDMC GUI:    

# adminaccess certificate import host application https file host.p12
Enter password:
**   Importing the certificate will restart the http/https services and currently active http/https user sessions will be terminated.
        Do you want to import this certificate? (yes|no) [yes]: yes
Host certificate imported for applications(s) : "https".

Obs! "adminaccess certificate show" bör nu visa ett importerat värdcertifikat för HTTPS. Det självsignerade standardcertifikatet för https anges som Används inte.