Dell EMC Unity: Impossibilidade de gerar o certificado CSR para SSL (pode ser corrigido pelo usuário)
Sammanfattning: Impossibilidade de gerar o certificado CSR para SSL
Den här artikeln gäller för
Den här artikeln gäller inte för
Den här artikeln är inte kopplad till någon specifik produkt.
Alla produktversioner identifieras inte i den här artikeln.
Symptom
Depois do upgrade para a versão 5.1.0, ocorre falha no carregamento do certificado CSR autorizado pela CA e com o modo FIPS 140-2 ativado ao usar o comando abaixo, exibindo o erro:
root@XXXX spa:~# openssl genrsa -des3 -out unitycrt.key -passout pass:emcemc
Generating RSA private key, 2048 bit long modulus
***********************************************************************************************************************************************************************************************************************+++++
************************************************************************************************************************************************************+++++
e is 65537 (0x010001)
140239201434496:error:060800C8:digital envelope routines:EVP_DigestInit_ex:disabled for FIPS:crypto/evp/digest.c:130:
root@XXXX spa:~# openssl genrsa -des3 -out unitycrt.key -passout pass:emcemc
Generating RSA private key, 2048 bit long modulus
***********************************************************************************************************************************************************************************************************************+++++
************************************************************************************************************************************************************+++++
e is 65537 (0x010001)
140239201434496:error:060800C8:digital envelope routines:EVP_DigestInit_ex:disabled for FIPS:crypto/evp/digest.c:130:
Orsak
A seguir, apresentamos trechos do "Guia de configuração de segurança da família Dell EMC Unity"
https://dl.dell.com/content/docu69321_Dell_EMC_Unity_Family_Security_Configuration_Guide.pdf?language=en_US
O sistema de armazenamento tem suporte para o modo FIPS 140-2 para os módulos SSL que lidam com o tráfego de gerenciamento de client. A
comunicação de gerenciamento dentro e fora do sistema é criptografada usando o SSL. Como parte desse processo, o client e o software de
gerenciamento de armazenamento negociam um pacote de codificação para uso no Exchange. A ativação do modo FIPS 140-2 restringe o conjunto negociável
de pacotes de codificação somente àqueles listados na publicação de funções de segurança aprovadas pelo FIPS 140-2. Se o modo FIPS 140-2
estiver ativado, será possível notar que alguns dos clients existentes não conseguirão mais se comunicar com as portas de gerenciamento do
sistema se não tiverem suporte para conjuntos de codificação aprovados pelo FIPS 140-2.
https://dl.dell.com/content/docu69321_Dell_EMC_Unity_Family_Security_Configuration_Guide.pdf?language=en_US
O sistema de armazenamento tem suporte para o modo FIPS 140-2 para os módulos SSL que lidam com o tráfego de gerenciamento de client. A
comunicação de gerenciamento dentro e fora do sistema é criptografada usando o SSL. Como parte desse processo, o client e o software de
gerenciamento de armazenamento negociam um pacote de codificação para uso no Exchange. A ativação do modo FIPS 140-2 restringe o conjunto negociável
de pacotes de codificação somente àqueles listados na publicação de funções de segurança aprovadas pelo FIPS 140-2. Se o modo FIPS 140-2
estiver ativado, será possível notar que alguns dos clients existentes não conseguirão mais se comunicar com as portas de gerenciamento do
sistema se não tiverem suporte para conjuntos de codificação aprovados pelo FIPS 140-2.
Upplösning
- O problema parece ser a opção "-des3" no comando "openssl genrsa".
- A remoção da opção "-des3" possibilitará o funcionamento do comando.
- O acesso à raiz talvez não seja necessário para executar o comando. No entanto, se houver algum erro de privilégio, envolva o suporte para ajudar no acesso à raiz.
- Execute o comando abaixo:
Ytterligare information
Observe que o comando -passout não é necessário quando a chave não é criptografada. Isso pode ser um problema com o openssl.
Dependendo do uso pretendido da chave privada, ela deverá ou não ser criptografada. Acredito que, se a chave privada for usada com o script svc_custom_cert, ela não deverá ser criptografada. Se você consultar o artigo KB335076, verá que a chave privada criptografada é descriptografada após o carregamento na array. A frase secreta PKCS12 será suficiente para proteger a chave privada durante o carregamento na array.
Dependendo do uso pretendido da chave privada, ela deverá ou não ser criptografada. Acredito que, se a chave privada for usada com o script svc_custom_cert, ela não deverá ser criptografada. Se você consultar o artigo KB335076, verá que a chave privada criptografada é descriptografada após o carregamento na array. A frase secreta PKCS12 será suficiente para proteger a chave privada durante o carregamento na array.
Berörda produkter
Dell EMC UnityArtikelegenskaper
Artikelnummer: 000191259
Artikeltyp: Solution
Senast ändrad: 20 feb. 2025
Version: 4
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.