PowerFlex: як використовувати OpenSSL для створення CSR і додавання сертифіката SSL

摘要: У цій статті описано кроки для ручного створення CSR за допомогою OpenSSL і додавання підписаного сертифіката до PowerFlex Manager. Ці кроки можна використовувати, коли у клієнта є поля, які він вимагає або не може використовувати, які вимагає або не має інтерфейс користувача PowerFlex Manager. ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

说明

Перш ніж розпочати цей процес, зробіть знімок віртуальної машини PowerFlex Manager у vCenter. Це забезпечує можливість відкочування, якщо це необхідно. Виконайте наведені нижче дії, щоб створити CSR і застосувати підписаний сертифікат до пристрою PowerFlex Manager.
  1. SSH до пристрою PowerFlex Manager і sudo до root: 
    sudo su -
  2. Змініть на кореневий каталог: 
    cd /root/
  3. Створіть довідник під назвою newcerts: 
    mkdir newcerts
  4. Перейдіть до нового каталогу, який ви створили: 
    cd newcerts
  5. Створення CNF-файлу: 
    vi cert.cnf
    1. Цей файл містить поля, необхідні для сертифіката, як-от поля розрізнених імен і записи альтернативних імен (SAN). Цей файл можна назвати як завгодно, але розширення файлу має бути .cnf. Скопіюйте всю наведену нижче інформацію у файл. Єдиними полями, які слід редагувати у файлі, є поля в розділі req_distinguished_name та поля в розділі alt_names (редагувати виділені жирним шрифтом розділи). Дивіться приклад нижче:
[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[req_distinguished_name]
C   = US
ST  = California
L   = Woodland
O   = PinballDivision
OU  = Developer
CN  = pfxm99.vxflex.local
emailAddress = support@pinball.org

[req_ext]
subjectAltName = @alt_names

[alt_names]  
IP.1 = 192.168.150.11
IP.2 = 10.10.10.14
IP.3 = 10.10.10.17
DNS.1 = devpfxm.vxflex.local
DNS.2 = pinballstore.vxflex.local
  1. Якщо клієнт не може мати адресу електронної пошти у своєму CSR, ви можете видалити рядок emailAddress з файлу CNF.
  2. Розділ alt_names цього файлу призначено для записів SAN (альтернативне ім'я суб'єкта).
  3. Поля DNS у розділі alt_names є альтернативними іменами FQDN для вашого хоста PowerFlex Manager, не вказуйте IP-адреси DNS-сервера в цих полях. Якщо у вас немає альтернативних імен, вам не потрібно включати розділ alt_names у файл.
  4. Після того, як ви закінчите редагувати файл, збережіть зміни: 
    <ESC> :wq!
 
  1. Створіть новий ключ сервера (у прикладі, що ми використовуємо ім'я файлу cert.key, це може бути названо як завгодно, але повинно мати. Розширення файлу ключа): 
    openssl genrsa -out cert.key 2048
  2. Згенеруйте новий КСВ з конфігурацією CNF: 
    openssl req -new -key cert.key -out cert.csr -config cert.cnf
    1. Файл ключа – це файл, створений на кроці 6.
    2. Файл .csr можна назвати як завгодно, але він повинен мати розширення .csr. У прикладі ми використовуємо cert.csr.
    3. Файл .cnf – це файл, створений на кроці 5.
  3. Підтвердьте, що ваш CSR був згенерований правильно: 
    openssl req -text -in cert.csr -noout
  4. Потрібно скопіювати файл CSR із віртуальної машини PowerFlex Manager, щоб надіслати його до центру сертифікації (CA) для підписання. Оскільки файли були створені від імені root, якщо ви використовуєте WinSCP, вам потрібно перемістити файл і внести деякі зміни дозволів, щоб скопіювати його, оскільки користувач delladmin не має доступу до каталогу /root. Виконайте такі дії, щоб скопіювати файл на локальний комп'ютер:
    1. Скопіюйте файл CSR в директорію /home/delladmin:
cp /root/newcerts/cert.csr /home/delladmin/
  1. Змініть дозволи на володіння delladmin: 
    chown delladmin:delladmin /home/delladmin/cert.csr
  2. Використовуйте WinSCP для копіювання файлу з пристрою PFxM, використовуючи обліковий запис delladmin для входу.
 
  1. Під час підписання сертифіката переконайтеся, що вибрано формат експорту з кодуванням Base-64 X.509 (. ЦЕР).
Налаштування експорту сертифіката
  1. Скопіюйте ваш файл CER до пристрою PFxM за допомогою WinSCP або аналогічного інструменту в директорію /home/delladmin.
  2. Перемістіть файл CER в директорію newcerts і змініть дозволи:
cp /home/delladmin/cert.cer /root/newcerts/
chown root:root /root/newcerts/cert.cer
  1. Створіть резервну копію існуючих сертифікатів у разі виникнення будь-яких проблем: 
    mkdir /root/origcerts
cp /etc/pki/tls/certs/localhost.crt  /root/origcerts/
cp /etc/pki/tls/private/localhost.key /root/origcerts/
  2. Замініть існуючі файли сертифікатів і ключів на новостворені: 
    cp /root/newcerts/cert.cer /etc/pki/tls/certs/localhost.crt
cp /root/newcerts/cert.key /etc/pki/tls/private/localhost.key
  3. Перезавантажте пристрій PFxM і переконайтеся, що сертифікат застосовано, коли віртуальна машина PowerFlex знову підключиться до мережі, увійшовши в інтерфейс користувача та переконавшись, що сертифікат правильно відображається в браузері.

受影响的产品

PowerFlex rack, ScaleIO
文章属性
文章编号: 000204726
文章类型: How To
上次修改时间: 18 2月 2025
版本:  3
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。