PowerFlex: Jak używać OpenSSL do generowania CSR i dodawania certyfikatu SSL

1. SSH do urządzenia PowerFlex Manager i sudo do katalogu głównego:

   sudo su -

2. Zmień katalog na katalog główny:

   cd /root/

3. Utwórz katalog o nazwie newcerts:

   mkdir newcerts

4. Zmień na nowo utworzony katalog:

   cd newcerts

5. Utwórz plik CNF:

   vi cert.cnf

   1. Plik ten zawiera pola wymagane dla certyfikatu, takie jak pola nazw wyróżniających i wpisy nazw alternatywnych (SAN). Plik ten może mieć dowolną nazwę, ale musi mieć rozszerzenie .cnf. Skopiuj wszystkie poniższe informacje do pliku. Jedynymi polami, które powinny być edytowane w pliku, są pola w sekcji req_distinguished_name oraz pola w sekcji alt_names (edytuj sekcje pogrubione). Zapoznaj się z poniższym przykładem:

[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[req_distinguished_name]
C   = US
ST  = California
L   = Woodland
O   = PinballDivision
OU  = Developer
CN  = pfxm99.vxflex.local
emailAddress = support@pinball.org

[req_ext]
subjectAltName = @alt_names

[alt_names]  
IP.1 = 192.168.150.11
IP.2 = 10.10.10.14
IP.3 = 10.10.10.17
DNS.1 = devpfxm.vxflex.local
DNS.2 = pinballstore.vxflex.local

2. Jeśli klient nie może mieć adresu e-mail w swoim CSR, możesz usunąć wiersz emailAddress z pliku CNF.
3. Sekcja alt_names tego pliku jest przeznaczona dla wpisów SAN (Subject Alternate Name).
4. Pola DNS w sekcji alt_names to alternatywne nazwy FQDN hosta PowerFlex Manager. W tych polach nie należy umieszczać adresów IP serwera DNS. Jeśli nie masz alternatywnych nazw, nie musisz dołączać sekcji alt_names do pliku.
5. Po zakończeniu edycji pliku zapisz zmiany:

   <ESC> :wq!

6. Utwórz nowy klucz serwera (w przykładzie, w którym używamy nazwy pliku cert.key, można go nazwać dowolnym, ale musi mieć. Rozszerzenie pliku klucza):

   openssl genrsa -out cert.key 2048

7. Wygeneruj nowy CSR z konfiguracją CNF:

   openssl req -new -key cert.key -out cert.csr -config cert.cnf

   1. ThePlik klucza to plik utworzony w kroku 6.
   2. Plik .csr może mieć dowolną nazwę, ale musi mieć rozszerzenie .csr pliku. W przykładzie używamy cert.csr.
   3. Plik .cnf jest plikiem utworzonym w kroku 5.
8. Upewnij się, że CSR został wygenerowany poprawnie:

   openssl req -text -in cert.csr -noout

9. Należy skopiować plik CSR z maszyny wirtualnej PowerFlex Manager, aby wysłać go do urzędu certyfikacji (CA) w celu podpisania. Ponieważ pliki zostały utworzone jako root, w przypadku korzystania z programu WinSCP należy przenieść plik i dokonać pewnych zmian w uprawnieniach, aby go skopiować, ponieważ użytkownik delladmin nie ma dostępu do katalogu /root. Aby skopiować plik na komputer lokalny, wykonaj następujące czynności:
   1. Skopiuj plik CSR do katalogu /home/delladmin:

cp /root/newcerts/cert.csr /home/delladmin/

2. Zmień uprawnienia na własność delladmin:

   chown delladmin:delladmin /home/delladmin/cert.csr

3. Użyj programu WinSCP, aby skopiować plik z urządzenia PFxM przy użyciu konta delladmin w celu zalogowania się.

10. Podczas podpisywania certyfikatu upewnij się, że wybrany format eksportu to zakodowany w formacie Base-64 X.509 (. CER).

11. Skopiuj plik CER do urządzenia PFxM za pomocą programu WinSCP lub podobnego narzędzia do katalogu /home/delladmin.
12. Przenieś plik CER do katalogu newcerts i zmień uprawnienia:

cp /home/delladmin/cert.cer /root/newcerts/
chown root:root /root/newcerts/cert.cer

13. Utwórz kopię zapasową istniejących certyfikatów w przypadku jakichkolwiek problemów:

    mkdir /root/origcerts
    cp /etc/pki/tls/certs/localhost.crt  /root/origcerts/
    cp /etc/pki/tls/private/localhost.key /root/origcerts/

14. Zastąp istniejące pliki certyfikatów i kluczy nowo wygenerowanymi:

    cp /root/newcerts/cert.cer /etc/pki/tls/certs/localhost.crt
    cp /root/newcerts/cert.key /etc/pki/tls/private/localhost.key

15. Uruchom ponownie urządzenie PFxM i sprawdź, czy certyfikat został zastosowany po powrocie maszyny wirtualnej PowerFlex do trybu online, logując się do interfejsu użytkownika i sprawdzając, czy certyfikat jest wyświetlany prawidłowo w przeglądarce.