PowerFlex: CSR oluşturmak ve SSL sertifikası eklemek için OpenSSL nasıl kullanılır?

1. PowerFlex Manager cihazına SSH ve kök olarak sudo yazın:

   sudo su -

2. Kök dizine geçin:

   cd /root/

3. newcerts adlı bir dizin oluşturun:

   mkdir newcerts

4. Oluşturduğunuz yeni dizine geçin:

   cd newcerts

5. CNF dosyası oluşturun:

   vi cert.cnf

   1. Bu dosya, ayırt edici ad alanları ve alternatif adlar (SAN) girişleri gibi sertifika için gereken alanları içerir. Bu dosya herhangi bir şekilde adlandırılabilir, ancak dosya uzantısı .cnf olmalıdır. Aşağıdaki tüm bilgileri dosyaya kopyalayın. Dosyada düzenlenmesi gereken alanlar yalnızca req_distinguished_name bölümündeki alanlar ve alt_names bölümündeki alanlardır (kalın bölümleri düzenleyin). Aşağıdaki örneğe bakın:

[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[req_distinguished_name]
C   = US
ST  = California
L   = Woodland
O   = PinballDivision
OU  = Developer
CN  = pfxm99.vxflex.local
emailAddress = support@pinball.org

[req_ext]
subjectAltName = @alt_names

[alt_names]  
IP.1 = 192.168.150.11
IP.2 = 10.10.10.14
IP.3 = 10.10.10.17
DNS.1 = devpfxm.vxflex.local
DNS.2 = pinballstore.vxflex.local

2. Bir müşterinin CSR'sinde e-posta adresi yoksa CNF dosyasından emailAddress satırını kaldırabilirsiniz.
3. Bu dosyanın alt_names bölümü SAN (Konu Diğer Adı) girişleri içindir.
4. alt_names bölümdeki DNS alanları, PowerFlex Manager ana bilgisayarınız için alternatif FQDN adlarıdır; bu alanlara DNS sunucusu IP adreslerini girmeyin. Diğer adlarınız yoksa dosyaya alt_names bölümünü eklemeniz gerekmez.
5. Dosyayı düzenlemeyi tamamladıktan sonra değişikliklerinizi kaydedin:

   <ESC> :wq!

6. Yeni bir sunucu anahtarı oluşturun (cert.key dosya adını kullandığımız örnekte, bu herhangi bir şekilde adlandırılabilir, ancak Key file extension):

   openssl genrsa -out cert.key 2048

7. CNF yapılandırmasıyla yeni bir CSR oluşturun:

   openssl req -new -key cert.key -out cert.csr -config cert.cnf

   1. Anahtar dosyası, Adım 6'da oluşturulan dosyadır.
   2. .csr dosyası herhangi bir şekilde adlandırılabilir ancak .csr dosya uzantısına sahip olmalıdır. Bu örnekte cert.csr kullanıyoruz.
   3. .cnf dosyası, 5. adımda oluşturulan dosyadır.
8. CSR nizin doğru şekilde oluşturulduğundan emin olun:

   openssl req -text -in cert.csr -noout

9. İmzalanması için Sertifika Yetkilinize (CA) göndermek üzere CSR dosyanızı PowerFlex Manager VM'den kopyalamanız gerekir. Dosyalar kök olarak oluşturulduğundan, WinSCP kullanıyorsanız delladmin kullanıcının /root dizinine erişimi olmadığı için dosyayı taşımanız ve kopyalamak için bazı izin değişiklikleri yapmanız gerekir. Dosyayı yerel makinenize kopyalamak için şu adımları kullanın:
   1. CSR dosyasını /home/delladmin dizinine kopyalayın:

cp /root/newcerts/cert.csr /home/delladmin/

2. İzinleri delladmin sahipliğine değiştirin:

   chown delladmin:delladmin /home/delladmin/cert.csr

3. Oturum açmak için delladmin hesabını kullanarak dosyayı PFxM cihazından kopyalamak için WinSCP'yi kullanın.

10. Sertifikanızı imzalarken seçilen dışa aktarma biçiminin Base-64 kodlu X.509 (. CER) olarak adlandırılır.

11. CER dosyanızı WinSCP veya benzer bir araç kullanarak /home/delladmin dizinine PFxM cihazına kopyalayın.
12. CER dosyasını newcerts dizinine taşıyın ve izinleri değiştirin:

cp /home/delladmin/cert.cer /root/newcerts/
chown root:root /root/newcerts/cert.cer

13. Herhangi bir sorun olması durumunda mevcut sertifikaları yedekleyin:

    mkdir /root/origcerts
    cp /etc/pki/tls/certs/localhost.crt  /root/origcerts/
    cp /etc/pki/tls/private/localhost.key /root/origcerts/

14. Mevcut sertifika ve anahtar dosyalarını yeni oluşturulan dosyalarla değiştirin:

    cp /root/newcerts/cert.cer /etc/pki/tls/certs/localhost.crt
    cp /root/newcerts/cert.key /etc/pki/tls/private/localhost.key

15. PFxM cihazını yeniden başlatın ve kullanıcı arayüzünde oturum açıp sertifikanın tarayıcıda doğru şekilde gösterildiğini doğrulayarak PowerFlex VM tekrar çevrimiçi olduğunda sertifikanın uygulandığını kontrol edin.