Data Domain: DD dışında CSR oluşturma

Çoğu durumda, CSR oluşturmak ve sertifikaların içe aktarılmasını sağlamak için bu KB'yi kullanmak istersiniz:

Data Domain - HTTP ve HTTPS için ana bilgisayar sertifikalarını yönetme

Nadir durumlarda bu KB, CSR'yi DD'nin kendisinde oluşturamadığınızda kullanılır.

CA imzalı bir sertifikayı içe aktarmak, güvenilir bir üçüncü tarafça imzalanmamış sertifikalar için tarayıcı kontrollerini atlamak zorunda kalmadan Data Domain System Manager'a HTTPS erişimi sağlar. DD GUI'ya ilk SSL bağlantısı kurulduktan sonra trafik, harici olarak imzalanan veya kendinden imzalı bir sertifika kullanılarak gizli dinlemeye karşı eşit şekilde korunur. Şirket, SSL erişimine sahip tüm ana bilgisayarların güven için dahili CA veya harici CA tarafından imzalanmış sertifikalara sahip olmasını zorunlu kılabilir.

Harici olarak imzalanan bu sertifikayı oluşturmak için çeşitli yaklaşımlar vardır. DD OS 6.2.0.35 ve sonraki sürümlerde önerdiğimiz yöntem, "adminaccess certificate cert-signing-request generate" DD CLI komutundan yararlanarak imzalama için tercih edilen CA'ya gönderilecek bir Sertifika İmzalama İsteği (CSR) oluşturmaktır. İmzalı sertifika daha sonra HTTPS için DD ye aktarılır. Tüm ayrıntılar şu KB makalesinde görülür: Data Domain: Sertifika İmzalama İsteği Oluşturma ve Harici Olarak İmzalanmış Sertifikaları

KullanmaDiğer yaklaşım, imzalanacak CSR'yi oluşturmak için yeni bir dizi OpenSSL kitaplığı ve ikili dosyası yüklü olan ağda ayrı bir ana bilgisayar kullanmaktır. İmzalı sertifika alındıktan sonra, imzalı sertifika ve sertifikanın ilişkili özel anahtarı bitilir ve manuel olarak DD'ye aktarılır ve içe aktarılır. Bu süreç şudur:    

1. OpenSSL'nin yüklü olduğu Linux, UNIX veya başka bir sunucuda oturum açın ve önce bir genel/özel anahtar çifti oluşturun. DD varsayılan olarak 2048 bit anahtarlar üretir, 1024 bit anahtarlar önerilmez ve 4096 bit anahtarlar biraz fazla olabilir:    

# openssl genrsa -out hostkey.pem 2048
Generating RSA private key, 2048 bit long modulus
........+++
...+++
e is 65537 (0x10001)

2. İlk adımda üretilen özel anahtarı kullanarak bir Sertifika İmzalama İsteği (CSR) oluşturun ve imzalanacak CSR'de ortak ad, e-posta adresi, ülke ve şehir gibi ayrıntıları sağlayın.

# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Çoğu OpenSSL kurulumunda , RFC 3280'e göre zorunlu bir gereksinim olan "subjectAltName" uzantısının CSR'ye eklenmediğini veya istenmediğini unutmayın. Bazı özel ve genel CA'lar, bu uzantının olmaması nedeniyle CSR'yi işlemeyi reddedebilir. GUI için DD sertifikası kullanıldığında tarayıcıdan erişilirken "subjectAltName" değerinin DD için FQDN olması gerekir.
 

CSR oluştururken bir "subjetAltName" belirtmek için OpenSSL 1.1.1 kullanılıyorsa bu işlem "OpenSSL" komut satırından yapılabilir. Aksi takdirde /etc/ssl/openssl.cnf dosyasının değiştirilmesi gerekir ve bu belgenin kapsamı dışındadır. OpenSSL 1.1.1 veya sonraki bir sürümü kullanıyorsanız:    

# openssl version
OpenSSL 1.1.1  11 Sep 2018
# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr -addext "subjectAltName = DNS:www.example.com"
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

3. host_csr.csr" CSR dosyasını alın ve imzalaması için ilgili CA'ya yükleyin. CA dahiliyse, bunu CA yöneticisine verin veya normal işlemle imzalayın (aşağıdaki gibi bir komut satırı kullanması gerekir):   

# openssl x509 -req -in host_csr.csr -CA CA/cacert.pem -CAkey CA/cakey.pem -out host_cert.pem -CAcreateserial
Signature ok
subject=/C=CH/ST=California/L=San Francisco/O=Example Inc./OU=IT Department/CN=www.example.com/emailAddress=webmaster@example.com
Getting CA Private Key

# openssl x509 -in host_cert.pem -text -noout | grep -A1 "Subject Alternative Name"
            X509v3 Subject Alternative Name:
                DNS:www.example.com

4.  Her durumda, sonuç genellikle .pem veya .cer kodlanmış bir sertifika dosyası (örnekte "host_cert.pem") olacaktır. Sertifikanın DD'de içe aktarılabilmesi için ilk adımda oluşturulan (özel) anahtarla birlikte PKCS#12 biçiminde paketlenmesi gerekir. İlk adımın çalıştırıldığı ana bilgisayardan:    

# openssl.exe pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -out host.p12 -inkey hostkey.pem -in host_cert.pem

Enter Export Password:
Verifying - Enter Export Password:

PKCS#12 dosyası için bir parola belirlemek kritik önem taşır, aksi takdirde sertifika içe aktarımı Data Domain'de başarısız olur. Sertifika yüklendikten sonra Data Domain'i normal şekilde kullanırken parola istenmez. '-keypbe PBE-SHA1-3DES' ve '-certpbe PBE-SHA1-3DES' bağımsız değişkenleri, CA'yı değiştirirken desteklenen "PBE-SHA1-3DES" algoritmasının kullanılmasını sağlamak içindir. Bu, son kullanıcının imzalı sertifikasını içe aktarmaya çalışırken hata almasını önleyecektir.

5. Elde edilen "host.p12" sertifika dosyasını Data Domain'deki "/ddr/var/certificates/" dizinine kopyalayın (örneğin, SCP kullanarak DD ye gidin).

6. Harici olarak oluşturulan ve imzalanan sertifikayı Data Domain'e aktarmadan önce Data Domain'in mevcut bir CSR'ye sahip olmadığını doğrulayın. Data Domain, içe aktarılan sertifikayı sistemdeki herhangi bir CSR ile eşleştirmeye çalışır ve varsa bu sertifikayla eşleşmez ve aşağıdaki hata mesajını vererek içe aktarılan sertifikayı yüklemeyi reddeder:    

Imported host certificate does not match the generated CSR

Sistemde mevcut bir CSR olup olmadığını doğrulayın:    

# adminaccess certificate cert-signing-request show

Mevcut bir CSR varsa daha ileri gitmeden önce silme işlemine devam edin; aksi takdirde sertifika içe aktarma işlemi başarısız olur:    

# adminaccess certificate cert-signing-request delete

7. Yeni sertifikayı CLI'dan içe aktarın. Önceki adımda PKCS#12'yi oluşturmak için kullanılan parolayı girin ve DD System Manager veya DDMC GUI için içe aktarılan sertifikayı kullanmak üzere "application https" komutunu kullanın:    

# adminaccess certificate import host application https file host.p12
Enter password:
**   Importing the certificate will restart the http/https services and currently active http/https user sessions will be terminated.
        Do you want to import this certificate? (yes|no) [yes]: yes
Host certificate imported for applications(s) : "https".

Not: adminaccess certificate show" artık HTTPS için bir imported-host sertifikası listelemelidir. https için varsayılan kendinden imzalı sertifika Kullanımda değil olarak belirtilir.