Dell EMC Unity: CSR-Zertifikat für SSL kann nicht erzeugt werden [vom Nutzer korrigierbar]
Sammanfattning: CSR-Zertifikat für SSL kann nicht erzeugt werden
Den här artikeln gäller för
Den här artikeln gäller inte för
Den här artikeln är inte kopplad till någon specifik produkt.
Alla produktversioner identifieras inte i den här artikeln.
Symptom
Nach dem Upgrade auf 5.1.0 kann das CSR-Zertifikat mit autorisierter Zertifizierungsstelle nicht mit aktiviertem FIPS 140-2 hochgeladen werden, wenn der folgende Befehl verwendet wird, was zu einem Fehler führt:
root@XXXX spa:~# openssl genrsa -des3 -out unitycrt.key -passout pass:emcemc
Generating RSA private key, 2048 bit long modulus
***********************************************************************************************************************************************************************************************************************+++++
************************************************************************************************************************************************************+++++
e is 65537 (0x010001)
140239201434496:error:060800C8:digital envelope routines:EVP_DigestInit_ex:disabled for FIPS:crypto/evp/digest.c:130:
root@XXXX spa:~# openssl genrsa -des3 -out unitycrt.key -passout pass:emcemc
Generating RSA private key, 2048 bit long modulus
***********************************************************************************************************************************************************************************************************************+++++
************************************************************************************************************************************************************+++++
e is 65537 (0x010001)
140239201434496:error:060800C8:digital envelope routines:EVP_DigestInit_ex:disabled for FIPS:crypto/evp/digest.c:130:
Orsak
Folgende Auszüge aus dem Sicherheitskonfigurationsleitfaden für die Dell EMC Unity-Produktreihe
https://dl.dell.com/content/docu69321_Dell_EMC_Unity_Family_Security_Configuration_Guide.pdf?language=en_US
Das Storage-System unterstützt den FIPS 140-2-Modus für die SSL-Module, die den Clientmanagementdatenverkehr verarbeiten. Management
Die Kommunikation zum und vom System wird mithilfe von SSL verschlüsselt. Im Rahmen dieses Prozesses verhandeln der Client und die Storage-
Managementsoftware eine Cipher Suite, die im Austausch verwendet werden soll. Durch Aktivieren des FIPS 140-2-Modus wird der verhandelbare Satz
von Cipher Suites auf diejenigen eingeschränkt, die in der Veröffentlichung „Fips 140-2 Approved Security Functions“ aufgeführt sind. Wenn der FIPS 140-2-Modus
aktiviert ist, stellen Sie möglicherweise fest, dass einige Ihrer vorhandenen Clients nicht mehr mit den Managementports des
Systems kommunizieren können, wenn sie FIPS 140-2 Approved Cipher Suites nicht unterstützen
https://dl.dell.com/content/docu69321_Dell_EMC_Unity_Family_Security_Configuration_Guide.pdf?language=en_US
Das Storage-System unterstützt den FIPS 140-2-Modus für die SSL-Module, die den Clientmanagementdatenverkehr verarbeiten. Management
Die Kommunikation zum und vom System wird mithilfe von SSL verschlüsselt. Im Rahmen dieses Prozesses verhandeln der Client und die Storage-
Managementsoftware eine Cipher Suite, die im Austausch verwendet werden soll. Durch Aktivieren des FIPS 140-2-Modus wird der verhandelbare Satz
von Cipher Suites auf diejenigen eingeschränkt, die in der Veröffentlichung „Fips 140-2 Approved Security Functions“ aufgeführt sind. Wenn der FIPS 140-2-Modus
aktiviert ist, stellen Sie möglicherweise fest, dass einige Ihrer vorhandenen Clients nicht mehr mit den Managementports des
Systems kommunizieren können, wenn sie FIPS 140-2 Approved Cipher Suites nicht unterstützen
Upplösning
- Das Problem scheint bei der Option „-des3“ im Befehl „openssl genrsa“ zu liegen.
- Wenn Sie die Option „-des3“ entfernen, funktioniert der Befehl.
- Möglicherweise ist kein Root-Zugriff erforderlich, um den Befehl auszuführen. Wenn jedoch ein Berechtigungsfehler vorliegt, wenden Sie sich an den Support, um das Root-Zugriff zu erhalten.
- Führen Sie den folgenden Befehl aus:
Ytterligare information
Beachten Sie, dass „-passout“ nicht erforderlich ist, wenn der Schlüssel nicht verschlüsselt ist. Dies kann ein Problem mit openssl sein.
Je nach beabsichtigter Verwendung des privaten Schlüssels sollte dieser verschlüsselt werden oder auch nicht. Wenn der private Schlüssel mit dem svc_custom_cert-Skript verwendet werden soll, sollte der private Schlüssel nicht verschlüsselt werden. Wenn Sie sich auf KB335076 beziehen, ist zu beachten, dass der verschlüsselte private Schlüssel nach dem Hochladen auf das Array entschlüsselt wird. Die PKCS12-Passphrase sollte ausreichend sein, um den privaten Schlüssel während des Uploads auf das Array zu schützen.
Je nach beabsichtigter Verwendung des privaten Schlüssels sollte dieser verschlüsselt werden oder auch nicht. Wenn der private Schlüssel mit dem svc_custom_cert-Skript verwendet werden soll, sollte der private Schlüssel nicht verschlüsselt werden. Wenn Sie sich auf KB335076 beziehen, ist zu beachten, dass der verschlüsselte private Schlüssel nach dem Hochladen auf das Array entschlüsselt wird. Die PKCS12-Passphrase sollte ausreichend sein, um den privaten Schlüssel während des Uploads auf das Array zu schützen.
Berörda produkter
Dell EMC UnityArtikelegenskaper
Artikelnummer: 000191259
Artikeltyp: Solution
Senast ändrad: 20 feb. 2025
Version: 4
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.