PowerFlex:OpenSSLを使用してCSRを生成し、SSL証明書を追加する方法

1. PowerFlex ManagerアプライアンスにSSHで接続し、sudoでrootに接続します。

   sudo su -

2. ルート ディレクトリーに移動します。

   cd /root/

3. newcertsという名前のディレクトリーを作成します。

   mkdir newcerts

4. 作成した新しいディレクトリーに移動します。

   cd newcerts

5. CNFファイルを作成します。

   vi cert.cnf

   1. このファイルには、識別名フィールドや代替名(SAN)エントリーなど、証明書に必要なフィールドが含まれています。このファイルには任意の名前を付けることができますが、ファイル拡張子は.cnfにする必要があります。以下のすべての情報をファイルにコピーします。ファイル内で編集する必要があるのは、req_distinguished_nameセクションのフィールドとalt_namesセクションのフィールドだけです(太字のセクションを編集します)。次の例を参照してください。

[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[req_distinguished_name]
C   = US
ST  = California
L   = Woodland
O   = PinballDivision
OU  = Developer
CN  = pfxm99.vxflex.local
emailAddress = support@pinball.org

[req_ext]
subjectAltName = @alt_names

[alt_names]  
IP.1 = 192.168.150.11
IP.2 = 10.10.10.14
IP.3 = 10.10.10.17
DNS.1 = devpfxm.vxflex.local
DNS.2 = pinballstore.vxflex.local

2. お客様のCSRにEメール アドレスがない場合は、CNFファイルからemailAddress行を削除できます。
3. このファイルのalt_namesセクションは、SAN(サブジェクト代替名)エントリー用です。
4. alt_namesセクションのDNSフィールドは、PowerFlex Managerホストの代替FQDN名です。これらのフィールドにはDNSサーバーのIPアドレスを入力しないでください。代替名がない場合は、ファイルにalt_namesセクションを含める必要はありません。
5. ファイルの編集が完了したら、変更を保存します。

   <ESC> :wq!

6. 新しいサーバーキーを作成します(ファイル名cert.keyを使用している例では、これには任意の名前を付けることができますが、が必要です。キーファイル拡張子):

   openssl genrsa -out cert.key 2048

7. CNF構成を使用して新しいCSRを生成します。

   openssl req -new -key cert.key -out cert.csr -config cert.cnf

   1. キー ファイルは、手順6で作成したファイルです。
   2. .csrファイルには任意の名前を付けることができますが、ファイル拡張子は.csrにする必要があります。この例では、cert.csrを使用しています。
   3. .cnf ファイルは、手順 5 で作成したファイルです。
8. CSRが正しく生成されたことを確認します。

   openssl req -text -in cert.csr -noout

9. CSRファイルをPowerFlex Manager VMからコピーして認証局(CA)に送信し、署名を受ける必要があります。ファイルはrootとして作成されているため、WinSCPを使用している場合は、ファイルを移動し、いくつかの権限を変更してコピーする必要があります。delladminユーザーには/rootディレクトリーへのアクセス権がないためです。次の手順を使用して、ファイルをローカル マシンにコピーします。
   1. CSRファイルを/home/delladminディレクトリーにコピーします。

cp /root/newcerts/cert.csr /home/delladmin/

2. 権限をdelladminの所有権に変更します。

   chown delladmin:delladmin /home/delladmin/cert.csr

3. WinSCPで、delladminアカウントを使用してログインし、PFxMアプライアンスからファイルをコピーします。

10. 証明書に署名する場合 選択したエクスポート形式が Base-64 エンコードの X.509 (.CER)です。

11. WinSCPまたは同様のツールを使用して、CERファイルをPFxMアプライアンスの/home/delladminディレクトリーにコピーします。
12. CERファイルをnewcertsディレクトリに移動し、権限を変更します。

cp /home/delladmin/cert.cer /root/newcerts/
chown root:root /root/newcerts/cert.cer

13. 問題が発生した場合に備えて、既存の証明書をバックアップします。

    mkdir /root/origcerts
    cp /etc/pki/tls/certs/localhost.crt  /root/origcerts/
    cp /etc/pki/tls/private/localhost.key /root/origcerts/

14. 既存の証明書ファイルとキー ファイルを新しく生成されたファイルに置き換えます。

    cp /root/newcerts/cert.cer /etc/pki/tls/certs/localhost.crt
    cp /root/newcerts/cert.key /etc/pki/tls/private/localhost.key

15. PFxMアプライアンスを再起動し、UIにログインして証明書がブラウザーに正しく表示されていることを確認して、PowerFlex VMがオンラインに戻ったら証明書が適用されることを確認します。