PowerFlex: OpenSSL gebruiken om een CSR te genereren en het SSL-certificaat toe te voegen

摘要: Dit artikel bevat de stappen om handmatig een CSR te maken met OpenSSL en het ondertekende certificaat toe te voegen aan PowerFlex Manager. Deze stappen kunnen worden gebruikt wanneer een klant velden heeft die hij wel of niet kan gebruiken en die de PowerFlex Manager UI wel of niet heeft. ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

说明

Voordat u dit proces start, maakt u een snapshot van uw PowerFlex Manager VM in vCenter. Dit biedt indien nodig een rollback-optie. Volg de onderstaande stappen om de CSR te genereren en het ondertekende certificaat toe te passen op de PowerFlex Manager appliance.
  1. SSH naar de PowerFlex Manager appliance en sudo naar root: 
    sudo su -
  2. Ga naar de hoofdmap: 
    cd /root/
  3. Maak een directory met de naam newcerts: 
    mkdir newcerts
  4. Ga naar de nieuwe map die u hebt gemaakt: 
    cd newcerts
  5. Maak een CNF-bestand: 
    vi cert.cnf
    1. Dit bestand bevat de velden die nodig zijn voor het certificaat, zoals Distinguished Name-velden en SAN-vermeldingen (Alt Names). Dit bestand kan van alles en nog wat worden genoemd, maar de bestandsextensie moet .cnf zijn. Kopieer alle onderstaande informatie naar het bestand. De enige velden die in het bestand moeten worden bewerkt, zijn de velden in de sectie req_distinguished_name en de velden in de sectie alt_names (vetgedrukte secties bewerken). Zie het onderstaande voorbeeld:
[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[req_distinguished_name]
C   = US
ST  = California
L   = Woodland
O   = PinballDivision
OU  = Developer
CN  = pfxm99.vxflex.local
emailAddress = support@pinball.org

[req_ext]
subjectAltName = @alt_names

[alt_names]  
IP.1 = 192.168.150.11
IP.2 = 10.10.10.14
IP.3 = 10.10.10.17
DNS.1 = devpfxm.vxflex.local
DNS.2 = pinballstore.vxflex.local
  1. Als een klant geen e-mailadres in zijn CSR kan hebben, kunt u de emailAddress-regel uit het CNF-bestand verwijderen.
  2. Het alt_names gedeelte van dit bestand is voor de SAN-vermeldingen (Subject Alternate Name).
  3. De DNS-velden in het gedeelte alt_names zijn alternatieve FQDN-namen voor uw PowerFlex Manager-host. Plaats geen IP-adressen van de DNS-server in deze velden. Als u geen alternatieve namen hebt, hoeft u de sectie alt_names niet in het bestand op te nemen.
  4. Als u klaar bent met het bewerken van het bestand, slaat u uw wijzigingen op: 
    <ESC> :wq!
 
  1. Maak een nieuwe serversleutel (in het voorbeeld dat we de bestandsnaam cert.key gebruiken, dit kan van alles worden genoemd, maar moet de. Key file extension): 
    openssl genrsa -out cert.key 2048
  2. Genereer een nieuwe CSR met de CNF-configuratie: 
    openssl req -new -key cert.key -out cert.csr -config cert.cnf
    1. DeHet sleutelbestand is het bestand dat in stap 6 is gemaakt.
    2. Het .csr bestand kan als van alles worden genoemd, maar moet de bestandsextensie .csr hebben. In het voorbeeld gebruiken we cert.csr.
    3. Het .cnf-bestand is het bestand dat in stap 5 is gemaakt.
  3. Controleer of uw CSR correct is gegenereerd: 
    openssl req -text -in cert.csr -noout
  4. U moet uw CSR-bestand kopiëren van de PowerFlex Manager VM om het naar uw certificeringsinstantie (CA) te verzenden voor ondertekening. Aangezien de bestanden als root zijn gemaakt, moet u, als u WinSCP gebruikt, het bestand verplaatsen en enkele machtigingswijzigingen aanbrengen om het te kopiëren, aangezien de delladmin-gebruiker geen toegang heeft tot de map /root. Voer deze stappen uit om het bestand naar uw lokale computer te kopiëren:
    1. Kopieer het CSR-bestand naar de /home/delladmin directory:
cp /root/newcerts/cert.csr /home/delladmin/
  1. Wijzig de machtigingen voor delladmin-eigendom: 
    chown delladmin:delladmin /home/delladmin/cert.csr
  2. Gebruik WinSCP om het bestand van het PFxM apparaat af te kopiëren met behulp van het delladmin-account om in te loggen.
 
  1. Wanneer u uw certificaat ondertekent, moet u ervoor zorgen dat het geselecteerde exportformaat Base-64-gecodeerd is X.509 (. CER).
Instellingen cert export
  1. Kopieer uw CER-bestand naar het PFxM apparaat met WinSCP of een vergelijkbare tool naar de /home/delladmin directory.
  2. Verplaats het CER-bestand naar de directory newcerts en wijzig de machtigingen:
cp /home/delladmin/cert.cer /root/newcerts/
chown root:root /root/newcerts/cert.cer
  1. Maak een back-up van bestaande certificaten in geval van problemen: 
    mkdir /root/origcerts
cp /etc/pki/tls/certs/localhost.crt  /root/origcerts/
cp /etc/pki/tls/private/localhost.key /root/origcerts/
  2. Vervang bestaande cert- en sleutelbestanden door de nieuw gegenereerde bestanden: 
    cp /root/newcerts/cert.cer /etc/pki/tls/certs/localhost.crt
cp /root/newcerts/cert.key /etc/pki/tls/private/localhost.key
  3. Start het PFxM-apparaat opnieuw op en controleer of het certificaat wordt toegepast zodra de PowerFlex VM weer online is door u aan te melden bij de gebruikersinterface en te controleren of het certificaat correct wordt weergegeven in de browser.

受影响的产品

PowerFlex rack, ScaleIO
文章属性
文章编号: 000204726
文章类型: How To
上次修改时间: 18 2月 2025
版本:  3
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。