Домен даних: Генерація КСВ за межами ДД

У більшості випадків ви захочете використовувати цю базу даних для генерації CSR та імпортування сертифікатів:

Домен даних - Керування сертифікатами хостів для HTTP та HTTPS

У більш рідкісних випадках цей КБ використовується, коли не виходить згенерувати CSR на самому ДД.

Імпорт сертифіката з підписом ЦС дає змогу отримати доступ HTTPS до Data Domain System Manager без необхідності обходити перевірки браузера на наявність сертифікатів, не підписаних довіреною третьою стороною. Після встановлення першого SSL-з'єднання з графічним інтерфейсом DD трафік однаково захищений від прослуховування за допомогою зовнішнього або самопідписаного сертифіката, що може вимагати від усіх хостів з доступом SSL сертифікати, підписані внутрішнім ЦС або зовнішнім ЦС для довіри.

Для створення цього сертифіката із зовнішнім підписом існують різні підходи. Ми рекомендуємо використовувати команду DD OS 6.2.0.35 і пізніших версій для створення запиту на підпис сертифіката DD CLI "adminaccess certificate cert-signing-request generate" для створення запиту на підпис сертифіката (CSR), який потрібно надіслати до вибраного центру сертифікації для підписання. Потім підписаний сертифікат імпортується в ДД для HTTPS. Всі подробиці дивіться в статті КБ Домен даних: Як згенерувати запит на підписання сертифіката та використовувати сертифікати із зовнішнім підписом

Інший підхід полягає у використанні окремого хоста в мережі з останнім набором бібліотек OpenSSL та двійкових файлів, встановлених для генерації CSR для підписання. Отримавши підписаний сертифікат, біт підписаний сертифікат і пов'язаний з ним закритий ключ сертифіката переносять і вручну переносять на DD та імпортують у нього. Цей процес полягає в наступному:    

1. Увійдіть на Linux, UNIX або інший сервер з встановленим OpenSSL і спочатку згенеруйте пару відкритий/закритий ключ. DD за замовчуванням генерує 2048-бітові ключі, 1024-бітні ключі не рекомендуються, а 4096-бітні ключі можуть бути трохи забагато:    

# openssl genrsa -out hostkey.pem 2048
Generating RSA private key, 2048 bit long modulus
........+++
...+++
e is 65537 (0x10001)

2. Згенеруйте запит на підписання сертифіката (CSR) за допомогою закритого ключа, створеного на першому кроці, і надайте деталі в CSR, які потрібно підписати, такі як загальне ім'я, адреса електронної пошти, країна та місто тощо.

# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Зверніть увагу, що в більшості інсталяцій OpenSSL розширення "subjectAltName", яке є обов'язковою вимогою відповідно до RFC 3280, не додається до CSR і не запитується. Деякі приватні та публічні ЦС можуть відмовити в обробці КСВ через відсутність цього продовження. У випадку сертифіката DD, який використовується для графічного інтерфейсу, "subjectAltName" має бути FQDN для DD під час доступу з браузера.
 

Щоб вказати "subjetAltName" при створенні CSR, якщо використовується OpenSSL 1.1.1, це можна зробити з самого командного рядка "OpenSSL". Якщо ні, це тягне за собою зміну /etc/ssl/openssl.cnf, що виходить за рамки цього документа. Якщо використовується OpenSSL 1.1.1 або новішої версії:    

# openssl version
OpenSSL 1.1.1  11 Sep 2018
# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr -addext "subjectAltName = DNS:www.example.com"
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

3. Отримайте CSR-файл "host_csr.csr" та завантажте його до відповідного ЦС для підписання. Якщо ЦС є внутрішнім, передайте його адміністратору ЦС або підпишіть його за допомогою звичайного процесу (якому потрібно буде використовувати командний рядок, наприклад, наведений нижче):   

# openssl x509 -req -in host_csr.csr -CA CA/cacert.pem -CAkey CA/cakey.pem -out host_cert.pem -CAcreateserial
Signature ok
subject=/C=CH/ST=California/L=San Francisco/O=Example Inc./OU=IT Department/CN=www.example.com/emailAddress=webmaster@example.com
Getting CA Private Key

# openssl x509 -in host_cert.pem -text -noout | grep -A1 "Subject Alternative Name"
            X509v3 Subject Alternative Name:
                DNS:www.example.com

4.  У будь-якому випадку, результатом зазвичай буде файл сертифіката з кодуванням .pem або .cer (у прикладі «host_cert.pem»). Щоб сертифікат був імпортований в DD, він повинен бути включений у комплект у форматі PKCS#12 разом із (приватним) ключем, згенерованим на першому кроці. Від того ж хоста, де було виконано перший крок:    

# openssl.exe pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -out host.p12 -inkey hostkey.pem -in host_cert.pem

Enter Export Password:
Verifying - Enter Export Password:

Критично важливо встановити пароль для файлу PKCS#12, інакше імпорт сертифіката не вдасться виконати на Data Domain. Пароль не буде запитано під час звичайного використання домену даних після інсталяції сертифікації. Аргументи '-keypbe PBE-SHA1-3DES' та '-certpbe PBE-SHA1-3DES' призначені для забезпечення використання підтримуваного алгоритму "PBE-SHA1-3DES" під час модифікації ЦС. Це дозволить уникнути помилки кінцевого користувача під час спроби імпортувати підписаний сертифікат.

5. Скопіюйте отриманий файл сертифіката "host.p12" в директорію "/ddr/var/certificates/" на Data Domain (наприклад, використовуючи SCP в DD).

6. Перш ніж імпортувати згенерований ззовні та підписаний сертифікат у Data Domain, переконайтеся, що домен даних не має існуючого CSR. Домен даних спробує зіставити імпортований сертифікат з будь-яким CSR у системі, і якщо такий існує, він не співпаде та відмовиться завантажувати імпортований сертифікат із таким повідомленням про помилку:    

Imported host certificate does not match the generated CSR

Перевірте, чи існує КСВ у системі:    

# adminaccess certificate cert-signing-request show

Якщо існує CSR, перейдіть до його видалення, перш ніж йти далі, інакше імпортувати сертифікат не вдасться:    

# adminaccess certificate cert-signing-request delete

7. Імпортуйте новий сертифікат із інтерфейсу командного рядка. Вкажіть пароль, який використовувався для створення PKCS#12 на попередньому кроці, і використовуйте "application https" для використання імпортованого сертифіката для DD System Manager або DDMC GUI:    

# adminaccess certificate import host application https file host.p12
Enter password:
**   Importing the certificate will restart the http/https services and currently active http/https user sessions will be terminated.
        Do you want to import this certificate? (yes|no) [yes]: yes
Host certificate imported for applications(s) : "https".

Примітка: "AdminAccess certificate show" тепер має відображати імпортований сертифікат хоста для https. Сертифікат із самопідписом за замовчуванням для https буде позначено як «Не використовується».