PowerFlex Jak pomocí protokolu OpenSSL vygenerovat požadavek CSR a přidat certifikát SSL

1. Přihlaste se do zařízení PowerFlex Manager pomocí SSH a pomocí příkazu sudo přejděte na uživatele root:

   sudo su -

2. Změňte umístění do kořenového adresáře:

   cd /root/

3. Vytvořte adresář s názvem newcerts:

   mkdir newcerts

4. Přejděte do nového adresáře, který jste vytvořili:

   cd newcerts

5. Vytvořte soubor CNF:

   vi cert.cnf

   1. Tento soubor obsahuje pole potřebná pro certifikát, jako jsou pole rozlišujících názvů a položky alternativních názvů (SAN). Tento soubor může být pojmenován libovolně, ale přípona musí být .cnf. Zkopírujte všechny níže uvedené informace do souboru. Jediná pole, která by měla být v souboru upravena, jsou pole v sekci req_distinguished_name a pole v sekci alt_names (upravit tučně zvýrazněné sekce). Viz příklad níže:

[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[req_distinguished_name]
C   = US
ST  = California
L   = Woodland
O   = PinballDivision
OU  = Developer
CN  = pfxm99.vxflex.local
emailAddress = support@pinball.org

[req_ext]
subjectAltName = @alt_names

[alt_names]  
IP.1 = 192.168.150.11
IP.2 = 10.10.10.14
IP.3 = 10.10.10.17
DNS.1 = devpfxm.vxflex.local
DNS.2 = pinballstore.vxflex.local

2. Pokud zákazník nemůže mít ve svém požadavku CSR e-mailovou adresu, můžete ze souboru CNF odebrat řádek emailAddress.
3. Část alt_names tohoto souboru je určena pro položky SAN (Subject Alternate Name).
4. Pole DNS v části alt_names představují alternativní názvy FQDN hostitele PowerFlex Manager. IP adresy serveru DNS do těchto polí neuvádějte. Pokud nemáte alternativní názvy, nemusíte do souboru vkládat oddíl alt_names.
5. Po dokončení úprav souboru uložte změny:

   <ESC> :wq!

6. Vytvořte nový klíč serveru (v příkladu, který používáme cert.key název souboru, může se jmenovat libovolně, ale musí mít. Přípona souboru klíče):

   openssl genrsa -out cert.key 2048

7. Vygenerujte nový CSR s konfigurací CNF:

   openssl req -new -key cert.key -out cert.csr -config cert.cnf

   1. Soubor klíče je soubor vytvořený v kroku 6.
   2. Soubor .csr může být pojmenován jakkoli, ale musí mít příponu .csr. V příkladu používáme cert.csr.
   3. Soubor .cnf je soubor vytvořený v kroku 5.
8. Ověřte, zda byl váš požadavek CSR vygenerován správně:

   openssl req -text -in cert.csr -noout

9. Soubor CSR je nutné zkopírovat z virtuálního počítače PowerFlex Manager a odeslat certifikační autoritě (CA) k podpisu. Pokud používáte nástroj WinSCP, musíte soubor přesunout a změnit oprávnění ke kopírování, protože uživatel delladmin nemá přístup k adresáři /root. Pomocí těchto kroků zkopírujte soubor do místního počítače:
   1. Zkopírujte soubor CSR do adresáře /home/delladmin:

cp /root/newcerts/cert.csr /home/delladmin/

2. Změňte oprávnění na vlastnictví delladmin:

   chown delladmin:delladmin /home/delladmin/cert.csr

3. Pomocí nástroje WinSCP zkopírujte soubor ze zařízení PFxM pomocí účtu delladmin a přihlaste se.

10. Při podepisování certifikátu se ujistěte, že vybraný formát exportu je X.509 s kódováním Base-64 (. CER).

11. Zkopírujte soubor CER do zařízení PFxM pomocí nástroje WinSCP nebo podobného nástroje do adresáře /home/delladmin.
12. Přesuňte soubor CER do adresáře newcerts a změňte oprávnění:

cp /home/delladmin/cert.cer /root/newcerts/
chown root:root /root/newcerts/cert.cer

13. Zálohování stávajících certifikátů v případě jakýchkoli problémů:

    mkdir /root/origcerts
    cp /etc/pki/tls/certs/localhost.crt  /root/origcerts/
    cp /etc/pki/tls/private/localhost.key /root/origcerts/

14. Nahraďte stávající soubory certifikátu a klíče nově vytvořenými:

    cp /root/newcerts/cert.cer /etc/pki/tls/certs/localhost.crt
    cp /root/newcerts/cert.key /etc/pki/tls/private/localhost.key

15. Restartujte zařízení PFxM a po virtuálním počítači PowerFlex opět online zkontrolujte, zda je certifikát aplikován tak, že se přihlásíte do uživatelského rozhraní a ověříte, že se certifikát v prohlížeči zobrazuje správně.