PowerFlex 如何使用 OpenSSL 產生 CSR 和新增 SSL 憑證
摘要: 本文提供使用 OpenSSL 手動建立 CSR,以及將已簽署憑證新增至 PowerFlex Manager 的步驟。當客戶擁有需要或無法使用 PowerFlex Manager UI 需要或不具備的欄位時,即可使用這些步驟。
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
说明
開始此程序之前,請在 vCenter 中取得您的 PowerFlex Manager VM 快照。如果需要,這將提供回滾選項。請依照以下步驟產生 CSR,並將簽署的憑證套用至 PowerFlex Manager 裝置。
- SSH 至 PowerFlex Manager 裝置,然後 sudo 至 root:
sudo su -
- 變更至根目錄:
cd /root/
- 建立一個名為 newcerts 的目錄:
mkdir newcerts
- 變更為您建立的新目錄:
cd newcerts
- 建立 CNF 檔案:
vi cert.cnf
- 此檔案包含憑證所需的欄位,例如辨別名稱欄位和替代名稱 (SAN) 項目。此檔可以命名為任何名稱,但檔擴展名必須是 .cnf。將以下所有資訊複製到檔案中。檔中唯一應編輯的欄位是req_distinguished_name部分中的欄位和alt_names部分中的欄位(編輯粗體部分)。請參閱以下範例:
[req] distinguished_name = req_distinguished_name req_extensions = req_ext prompt = no [req_distinguished_name] C = US ST = California L = Woodland O = PinballDivision OU = Developer CN = pfxm99.vxflex.local emailAddress = support@pinball.org [req_ext] subjectAltName = @alt_names [alt_names] IP.1 = 192.168.150.11 IP.2 = 10.10.10.14 IP.3 = 10.10.10.17 DNS.1 = devpfxm.vxflex.local DNS.2 = pinballstore.vxflex.local
- 如果客戶的 CSR 中不能有電子郵件地址,您可以從 CNF 檔案中移除 emailAddress 行。
- 此檔案的alt_names區段用於 SAN (主體別名) 項目。
- alt_names區段中的 DNS 欄位是 PowerFlex Manager 主機的備用 FQDN 名稱,請勿在這些欄位中放入 DNS 伺服器 IP 位址。如果沒有備用名稱,則無需在檔中包含alt_names節。
- 編輯完檔案後,請儲存變更:
<ESC> :wq!
- 建立新的伺服器金鑰 (在範例中我們使用檔案名稱cert.key,這可以命名為任何名稱,但必須具有 。金鑰副檔名):
openssl genrsa -out cert.key 2048
- 使用 CNF 組態產生新的 CSR:
openssl req -new -key cert.key -out cert.csr -config cert.cnf
- 金鑰檔案是在步驟 6 中建立的檔案。
- .csr檔可以命名為任何名稱,但必須具有.csr檔擴展名。在此範例中,我們使用 cert.csr。
- .cnf 檔是在步驟 5 中創建的檔。
- 確認您的 CSR 已正確產生:
openssl req -text -in cert.csr -noout
- 您必須從 PowerFlex Manager VM 複製 CSR 檔案,以傳送至您的認證機構 (CA) 進行簽署。由於檔案是以 root 身分建立,如果您使用的是 WinSCP,您必須移動檔案並進行部分權限變更才能複製,因為 delladmin 使用者沒有 /root 目錄的存取權。使用以下步驟將檔案複製到本地電腦:
- 將 CSR 檔案複製到 /home/delladmin 目錄:
cp /root/newcerts/cert.csr /home/delladmin/
- 將權限變更為 delladmin 擁有權:
chown delladmin:delladmin /home/delladmin/cert.csr
- 使用 WinSCP 將檔案從 PFxM 裝置複製出去,並使用 delladmin 帳戶登入。
- 簽署憑證時,請確保選取的匯出格式為 Base-64 編碼的 X.509 (.環化矽)。
- 使用 WinSCP 或類似工具,將您的 CER 檔案複製到 PFxM 裝置至 /home/delladmin 目錄。
- 將 CER 檔案移至 newcerts 目錄並變更權限:
cp /home/delladmin/cert.cer /root/newcerts/ chown root:root /root/newcerts/cert.cer
- 備份現有的憑證,以防發生任何問題:
mkdir /root/origcerts cp /etc/pki/tls/certs/localhost.crt /root/origcerts/ cp /etc/pki/tls/private/localhost.key /root/origcerts/
- 將現有的憑證和金鑰檔案更換為新產生的檔案:
cp /root/newcerts/cert.cer /etc/pki/tls/certs/localhost.crt cp /root/newcerts/cert.key /etc/pki/tls/private/localhost.key
- 將 PFxM 裝置重新開機,並確認憑證是否已在瀏覽器中正確顯示,以檢查 PowerFlex VM 重新上線後是否已套用憑證。
受影响的产品
PowerFlex rack, ScaleIO文章属性
文章编号: 000204726
文章类型: How To
上次修改时间: 18 2月 2025
版本: 3
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。