PowerFlex Utilisation d’OpenSSL pour générer une CSR et ajouter le certificat SSL

摘要: Cet article explique comment créer manuellement une CSR à l’aide d’OpenSSL et ajouter le certificat signé à PowerFlex Manager. Ces étapes peuvent être utilisées lorsqu’un client a des champs qu’il doit ou ne peut pas utiliser et que l’interface utilisateur de PowerFlex Manager exige ou ne possède pas. ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

说明

Avant de démarrer ce processus, prenez un snapshot de votre machine virtuelle PowerFlex Manager dans vCenter. Cela fournit une option de restauration si nécessaire. Suivez les étapes ci-dessous pour générer la CSR et appliquer le certificat signé à l’appliance PowerFlex Manager.
  1. Établissez une connexion SSH avec l’appliance PowerFlex Manager et accédez à sudo jusqu’à root : 
    sudo su -
  2. Accédez au répertoire racine : 
    cd /root/
  3. Créez un répertoire appelé newcerts : 
    mkdir newcerts
  4. Accédez au nouveau répertoire que vous avez créé : 
    cd newcerts
  5. Créez un fichier CNF : 
    vi cert.cnf
    1. Ce fichier contient les champs nécessaires pour le certificat, tels que les champs de nom unique et les entrées de noms alternatifs (SAN). Ce fichier peut être nommé comme n’importe quoi, mais l’extension de fichier doit être .cnf. Copiez toutes les informations ci-dessous dans le fichier. Les seuls champs qui doivent être modifiés dans le fichier sont les champs de la section req_distinguished_name et les champs de la section alt_names (modifier les sections en gras). Reportez-vous à l’exemple ci-dessous :
[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[req_distinguished_name]
C   = US
ST  = California
L   = Woodland
O   = PinballDivision
OU  = Developer
CN  = pfxm99.vxflex.local
emailAddress = support@pinball.org

[req_ext]
subjectAltName = @alt_names

[alt_names]  
IP.1 = 192.168.150.11
IP.2 = 10.10.10.14
IP.3 = 10.10.10.17
DNS.1 = devpfxm.vxflex.local
DNS.2 = pinballstore.vxflex.local
  1. Si un client ne peut pas avoir d’adresse e-mail dans sa CSR, vous pouvez supprimer la ligne emailAddress du fichier CNF.
  2. La section alt_names de ce fichier concerne les entrées SAN (Subject Alternate Name).
  3. Les champs DNS de la section alt_names sont des noms de domaine complets alternatifs pour votre hôte PowerFlex Manager. Ne placez pas les adresses IP du serveur DNS dans ces champs. Si vous n’avez pas d’autres noms, vous n’avez pas besoin d’inclure la section alt_names dans le fichier.
  4. Une fois que vous avez terminé de modifier le fichier, enregistrez vos modifications : 
    <ESC> :wq!
 
  1. Créer une nouvelle clé de serveur (dans l’exemple où nous utilisons le nom de fichier cert.key, cela peut être nommé n’importe quoi, mais doit avoir le. Extension de fichier clé) : 
    openssl genrsa -out cert.key 2048
  2. Générez une nouvelle CSR avec la configuration CNF : 
    openssl req -new -key cert.key -out cert.csr -config cert.cnf
    1. Le fichier de clé est le fichier créé à l’étape 6.
    2. Le fichier .csr peut être nommé comme n’importe quoi, mais doit avoir l’extension de fichier .csr. Dans l’exemple, nous utilisons cert.csr.
    3. Le fichier .cnf est le fichier créé à l’étape 5.
  3. Vérifiez que votre CSR a été généré correctement : 
    openssl req -text -in cert.csr -noout
  4. Vous devez copier votre fichier CSR à partir de la machine virtuelle PowerFlex Manager pour l’envoyer à votre autorité de certification (AC) pour signature. Étant donné que les fichiers ont été créés en tant qu’utilisateur root, si vous utilisez WinSCP, vous devez déplacer le fichier et modifier les autorisations pour le copier, car l’utilisateur delladmin n’a pas accès au répertoire /root. Suivez ces étapes pour copier le fichier sur votre machine locale :
    1. Copiez le fichier CSR dans le répertoire /home/delladmin :
cp /root/newcerts/cert.csr /home/delladmin/
  1. Modifiez les autorisations de propriété delladmin : 
    chown delladmin:delladmin /home/delladmin/cert.csr
  2. Utilisez WinSCP pour copier le fichier hors de l’appliance PFxM à l’aide du compte delladmin pour vous connecter.
 
  1. Lorsque vous signez votre certificat, assurez-vous que le format d’exportation sélectionné est en base 64 codé X.509 (. CER).
Paramètres d’exportation du certificat
  1. Copiez votre fichier CER sur l’appliance PFxM à l’aide de WinSCP ou d’un outil similaire dans le répertoire /home/delladmin.
  2. Déplacez le fichier CER vers le répertoire newcerts et modifiez les autorisations :
cp /home/delladmin/cert.cer /root/newcerts/
chown root:root /root/newcerts/cert.cer
  1. Sauvegardez les certificats existants en cas de problème : 
    mkdir /root/origcerts
cp /etc/pki/tls/certs/localhost.crt  /root/origcerts/
cp /etc/pki/tls/private/localhost.key /root/origcerts/
  2. Remplacez les fichiers de certificat et de clé existants par les fichiers qui viennent d’être générés : 
    cp /root/newcerts/cert.cer /etc/pki/tls/certs/localhost.crt
cp /root/newcerts/cert.key /etc/pki/tls/private/localhost.key
  3. Redémarrez l’appliance PFxM et vérifiez que le certificat est appliqué une fois que la machine virtuelle PowerFlex est de nouveau en ligne en vous connectant à l’interface utilisateur et en vérifiant que le certificat s’affiche correctement dans le navigateur.

受影响的产品

PowerFlex rack, ScaleIO
文章属性
文章编号: 000204726
文章类型: How To
上次修改时间: 18 2月 2025
版本:  3
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。