PowerFlex Slik bruker du OpenSSL til å generere en CSR og legge til SSL-sertifikatet

1. SSH til PowerFlex Manager-apparatet og sudo til rot:

   sudo su -

2. Bytt til rotkatalogen:

   cd /root/

3. Lag en katalog som heter newcerts:

   mkdir newcerts

4. Endre til den nye katalogen du opprettet:

   cd newcerts

5. Opprett en CNF-fil:

   vi cert.cnf

   1. Denne filen inneholder feltene som trengs for sertifikatet, for eksempel felt for unike navn og oppføringer for alternative navn (SAN). Denne filen kan navngis som noe, men filtypen må være .cnf. Kopier all info nedenfor inn i filen. De eneste feltene som skal redigeres i filen, er feltene i req_distinguished_name-delen og feltene i alt_names-delen (rediger uthevede inndelinger). Se eksempelet nedenfor:

[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[req_distinguished_name]
C   = US
ST  = California
L   = Woodland
O   = PinballDivision
OU  = Developer
CN  = pfxm99.vxflex.local
emailAddress = support@pinball.org

[req_ext]
subjectAltName = @alt_names

[alt_names]  
IP.1 = 192.168.150.11
IP.2 = 10.10.10.14
IP.3 = 10.10.10.17
DNS.1 = devpfxm.vxflex.local
DNS.2 = pinballstore.vxflex.local

2. Hvis en kunde ikke kan ha en e-postadresse i CSR-en, kan du fjerne emailAddress-linjen fra CNF-filen.
3. Den alt_names delen av denne filen gjelder for SAN-oppføringer (Subject Alternate Name).
4. DNS-feltene i alt_names-delen er alternative FQDN-navn for PowerFlex Manager-verten. Ikke legg DNS-serverens IP-adresser i disse feltene. Hvis du ikke har alternative navn, trenger du ikke å inkludere alt_names-delen i filen.
5. Når du er ferdig med å redigere filen, lagrer du endringene:

   <ESC> :wq!

6. Opprett en ny servernøkkel (i eksemplet som vi bruker filnavnet cert.key, kan dette navngis hva som helst, men må ha. Nøkkelfiltype):

   openssl genrsa -out cert.key 2048

7. Generer en ny CSR med CNF-konfigurasjonen:

   openssl req -new -key cert.key -out cert.csr -config cert.cnf

   1. DenNøkkelfilen er filen som ble opprettet i trinn 6.
   2. Den .csr filen kan navngis som noe, men må ha .csr filtypen. I eksemplet bruker vi cert.csr.
   3. CNF-filen er filen som ble opprettet i trinn 5.
8. Bekreft at CSR-en ble generert riktig:

   openssl req -text -in cert.csr -noout

9. Du må kopiere CSR-filen fra PowerFlex Manager VM for å sende den til sertifiseringsinstansen (CA) for signering. Siden filene ble opprettet som rotfiler, må du flytte filen og gjøre noen tillatelsesendringer for å kopiere den hvis du bruker WinSCP, siden delladmin-brukeren ikke har tilgang til /root-katalogen. Bruk disse trinnene for å kopiere filen til den lokale maskinen:
   1. Kopier CSR-filen til /home/delladmin-katalogen:

cp /root/newcerts/cert.csr /home/delladmin/

2. Endre tillatelsene til delladmin-eierskap:

   chown delladmin:delladmin /home/delladmin/cert.csr

3. Bruk WinSCP til å kopiere filen ut av PFxM-apparatet ved hjelp av delladmin-kontoen for å logge på.

10. Når du signerer sertifikatet, kontroller at eksportformatet som er valgt, er Base-64-kodet X.509 (. CER).

11. Kopier CER-filen til PFxM-apparatet ved hjelp av WinSCP eller lignende verktøy til /home/delladmin-katalogen.
12. Flytt CER-filen til newcerts-katalogen og endre tillatelsene:

cp /home/delladmin/cert.cer /root/newcerts/
chown root:root /root/newcerts/cert.cer

13. Sikkerhetskopier eksisterende sertifikater i tilfelle problemer:

    mkdir /root/origcerts
    cp /etc/pki/tls/certs/localhost.crt  /root/origcerts/
    cp /etc/pki/tls/private/localhost.key /root/origcerts/

14. Erstatt eksisterende cert- og nøkkelfiler med de nylig genererte:

    cp /root/newcerts/cert.cer /etc/pki/tls/certs/localhost.crt
    cp /root/newcerts/cert.key /etc/pki/tls/private/localhost.key

15. Start PFxM-verktøyet på nytt, og kontroller at sertifikatet er brukt når PowerFlex VM er tilkoblet igjen, ved å logge på brukergrensesnittet og kontrollere at sertifikatet vises riktig i nettleseren.