Dell Unity:UnityでセキュアCA証明書署名要求を作成する方法
概要: ブラウザーは、CA署名済み証明書を信頼する前に、より多くの情報を期待します。 このプロセスでは、設定ファイルを使用してセキュアな証明書署名要求(CSR)を作成し、CA Signing Serverに送信してUnityにインポートします。(ユーザーが修正可能)
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
手順
Unityで、Unity CSR CA証明書署名リクエストを作成します。
Unity 5.5.0
修正:
Unity 5.5.0を5.5.1以降にアップグレードします
バージョン5.5.1.0.5.025のUnityリリース ノート(3ページ)の機能拡張には、カスタム チェーン証明書の検証、
識別名(
「
以下は、次の実際の例です。
Unity 5.5.0
注:UnityがUnity Operating Environment 5.5で動作している場合は、シニア テクニカル サポート スペシャリストに内部アップデートの適用を依頼します
svc_custom_cert UnityのCA署名済み証明書をインポートする前に実行します。
修正:
Unity 5.5.0を5.5.1以降にアップグレードします
バージョン5.5.1.0.5.025のUnityリリース ノート(3ページ)の機能拡張には、カスタム チェーン証明書の検証、
svc_custom_cert カスタム証明書を正常にインポートするためのインポート ユーティリティー、およびアップグレード前ヘルス チェック(PUHC)とUEMCLIの障害に関連する問題の解決策。
- ユーザー サービスとしてUnityにSSHで接続します。
- CA証明書署名要求(CSR)構成ファイルを作成します。
vi unity-cert.cnf
2つの #=== の間にある以下の作業例からテキストをコピーし、そのテキストを
unity-cert.cnf ファイルで定義)を使用することが重要です。
編集
distinguished_name (dn) Unity の C、ST、L、OU、CN、および emailAddress のニーズに一致する詳細。
編集
subjectAltName "alt_names" Unity の完全修飾ドメイン名 (FQDN)、ホスト名、および IP アドレスのニーズに一致する詳細。
識別名(
dn)の詳細:
C=2 Letter Country Code
ST=State/Region
L=Location/City
O=Organization
OU=Organization Unit
CN=Common Name (This is Unity's Fully Qualified DNS Domain Name (FQDN))
emailAddress=The email address of a Group or a Person that manages Unity and/or its Certificates.
「
subjectAlt Name は、Unityを参照するために使用できるFQDN、ホスト名、IPアドレスのリストです。
DNSエントリが1つしかない場合は、
DNS=DNS 詳細を記述し、削除またはコメントアウトします DNS.1 と DNS.2 エントリ。
一部のサイトでは、
subjectAltName セクションを IP アドレスのサポートから削除します。必要に応じて、IP行を削除またはコメント アウトします。
以下は、次の実際の例です。
unity-cert.cnf 要件に合わせて編集する必要があります。
#=== [req] default_bits=2048 prompt=no default_md=sha256 distinguished_name=dn req_extensions=v3_req # The extensions to add to a certificate request [dn] C=US ST=Massachusetts L=Hopkinton O=Dell Technologies OU=3CLAB CN=unityf12.3clab.hop.ma.dell.com emailAddress=3clabadmin@3clab.hop.ma.dell.com [v3_req] basicConstraints=critical,CA:FALSE keyUsage=critical,nonRepudiation,digitalSignature,keyEncipherment,keyAgreement extendedKeyUsage=serverAuth,clientAuth subjectAltName=@alt_names [alt_names] DNS.1=unityf12.3clab.hop.ma.dell.com DNS.2=unityf12 IP.1=10.20.30.40 #===
を保存します unity-cert.cnf ファイルで定義)を使用することが重要です。
- 証明書署名リクエスト(.csr)と、パスフレーズで保護されていないプライベート キー(.pk)を作成します。Unityは、パスフレーズで保護されていないプライベート キーのみを受け入れます。
openssl req -newkey rsa:2048 -nodes -keyout unity-cert.pk -config unity-cert.cnf -out unity-cert.csr
CSRの表示と確認 distinguished_name と subjectAltName 詳細はUnityの要件を満たしています。
openssl req -verify -noout -text -in unity-cert.csr
- 送信
unity-cert.csrファイルをCA証明書署名サーバーに移動して署名します。
scpまたはWinSCP(scpプロトコルを使用)のいずれかを使用して、 unity-cert.csr file.
チームはCAの証明書を使用してCSRに署名し、Unity用のCA署名済み証明書を作成します
返された証明書が(.cer)として届いた場合は、 DER 形式であり、 PEM 拡張子 (.crt) を付けた形式。
- 新しく作成したCA署名済み証明書を表示します。
openssl x509 -noout -text -in unity-cert.crt
新しく作成された証明書を表示できない場合は、証明書を DER format (.cer 拡張子) を PEM フォーマット (拡張子 .crt) を使用して、次のコマンドを使用します。
openssl x509 -inform der -in unity-cert.cer -outform pem -out unity-cert.crt
- 新しく作成したCA署名済み証明書を表示します。
openssl x509 -noout -text -in unity-cert.crt
CA署名証明書の出力が正しいことを確認してから、次の手順に進みます。
ここでは、次の権限チェーンを検証するための追加手順を示します。 modulus Unityにインポートする前に、プライベート キー(.pk)、証明書署名要求(.csr)、CA署名付き証明書(.crt)がすべて一致します
openssl rsa -noout -modulus -in unity-cert.pk | sha256sum openssl req -noout -modulus -in unity-cert.csr | sha256sum openssl x509 -noout -modulus -in unity-cert.crt | sha256sum
- CA署名済み証明書とUnityのプライベート キーをUnityにインポートします。
注: 証明書インポート コマンド
svc_custom_cert 2つのファイルが必要です。
- CA署名済み証明書(拡張子(.crt)付き)
- パスフレーズで保護されていないプライベート キー(.pk)拡張子。
svc_custom_cert unity-cert
エラー メッセージが表示され、Unity が OE 5.5 を実行している場合は、次の手順を実行します。
ERROR: Could not determine private key strength
シニア テクニカル サポート担当者に内部アップデートの適用を依頼します svc_custom_cert CA署名済み証明書をインポートする前に、次の手順を実行します。
Unityの管理サービスが再起動し、新しい証明書がロードされます。これには 2 分から 5 分かかります。
注意:Unity が秘密キーのパスフレーズを要求した場合は、Ctrl-C を押してプロセスをキャンセルします
パスフレーズは入力しないでください。Unityは、パスフレーズで保護されていないプライベート キーのみを受け入れます。
Unityには、プライベート キー パスフレーズを保存する方法はありません。パスフレーズを入力すると、Unityの管理サービスの実行が停止します。パスフレーズを求められた場合は、戻って上記の手順を再実行します。
パスフレーズは入力しないでください。Unityは、パスフレーズで保護されていないプライベート キーのみを受け入れます。
Unityには、プライベート キー パスフレーズを保存する方法はありません。パスフレーズを入力すると、Unityの管理サービスの実行が停止します。パスフレーズを求められた場合は、戻って上記の手順を再実行します。
- 新しい証明書がインポートされたら、Webブラウズを開き、Unityに接続します。
必要に応じて、目的の URL を選択して、証明書が安全であることを確認します。
https://FQDN/ https://hostname/ https://Unity_IP_Address/ https://[Unity_IPv6_Address]/
メモ:
この一時的なUnityの例では、次のようになります。
例として、Unityを参照するには、次を使用します。
この一時的なUnityの例では、次のようになります。
FQDN is unityf12.3clab.hop.ma.dell.com
Hostname is unityf12 (I had to ensure my workstation's domain search included 3clab.hop.ma.dell.com).
IP Address is 10.20.30.40
There is no IPv6 address specified.
例として、Unityを参照するには、次を使用します。
https://unityf12.3clab.hop.ma.dell.com/ https://unityf12/ (Ensure your workstation's domain search includes Unity's Domain) https://10.20.30.40/ https://[Unity_IPv6_Address]/ (My Unity does not have IPv6 address to test.)
その他の情報
注:これらの手順をスクリプト化するには、スクリプトをアップロードしてUnityでサービス シェルを有効にするための特別な権限が必要です。これには、Dellテクニカル サポートとの連携が必要です。
上記の手順を使用する場合、スクリプトを作成したり、サービス シェルを有効にしたりする必要はありません。
次の権限チェーンを検証するための追加手順
modulus の秘密鍵(.pk)、証明書署名要求(.csr)、およびCA署名付き証明書(.crt)がすべて一致します。
openssl rsa -noout -modulus -in unity-cert.pk | sha256sum openssl req -noout -modulus -in unity-cert.csr | sha256sum openssl x509 -noout -modulus -in unity-cert.crt | sha256sum
- IPアドレスへのFQDNルックアップ用のUnity DNSエントリーと、そのIPアドレスを確認します。
DNS nslookupUnityのFQDNと一致します。 - 証明書署名要求ファイルのフィールドに正しいスペルUnity FQDNが含まれていることを確認します。
- 識別名の CN フィールド (
dn)セクション - 「
DNS.1フィールドをsubjectAltNameセクション (alt_names)を作成します。
(dn)
CN
A のアンダー DNS nslookup のUnityの完全修飾ドメイン名(FQDN)は、FQDNIPアドレスを示すIPアドレスを示します。
対象製品
Unity All Flash, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Unity Hybrid flash, UnityVSA文書のプロパティ
文書番号: 000203303
文書の種類: How To
最終更新: 25 2月 2026
バージョン: 11
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。