PowerFlex: как использовать OpenSSL для создания CSR и добавления SSL-сертификата

摘要: В этой статье описаны шаги по созданию CSR вручную с помощью OpenSSL и добавлению подписанного сертификата в PowerFlex Manager. Эти действия можно использовать, если у заказчика есть поля, которые требуются или не могут использоваться в пользовательском интерфейсе PowerFlex Manager. ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

说明

Перед началом этого процесса создайте моментальный снимок виртуальной машины PowerFlex Manager в vCenter. При необходимости можно выполнить откат. Выполните следующие действия, чтобы создать CSR и применить подписанный сертификат к устройству PowerFlex Manager.
  1. Подключитесь через SSH к устройству PowerFlex Manager и переключитесь с помощью sudo на пользователя root: 
    sudo su -
  2. Перейдите в корневой каталог: 
    cd /root/
  3. Создайте каталог с именем newcerts: 
    mkdir newcerts
  4. Перейдите в новый каталог, который вы создали: 
    cd newcerts
  5. Создайте CNF-файл: 
    vi cert.cnf
    1. Этот файл содержит поля, необходимые для сертификата, такие как поля различающихся имен и записи альтернативных имен (SAN). Этому файлу можно присвоить любое имя, но файл должен иметь расширение .cnf. Скопируйте в файл всю приведенную ниже информацию. В файле необходимо редактировать только поля в разделе req_distinguished_name и поля в разделе alt_names (редактировать разделы, выделенные полужирным шрифтом). См. пример ниже:
[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[req_distinguished_name]
C   = US
ST  = California
L   = Woodland
O   = PinballDivision
OU  = Developer
CN  = pfxm99.vxflex.local
emailAddress = support@pinball.org

[req_ext]
subjectAltName = @alt_names

[alt_names]  
IP.1 = 192.168.150.11
IP.2 = 10.10.10.14
IP.3 = 10.10.10.17
DNS.1 = devpfxm.vxflex.local
DNS.2 = pinballstore.vxflex.local
  1. Если заказчик не может указать адрес электронной почты в CSR, можно удалить строку emailAddress из CNF-файла.
  2. Раздел alt_names этого файла предназначен для записей SAN (альтернативное имя субъекта).
  3. Поля DNS в разделе alt_names представляют собой альтернативные имена FQDN для хоста PowerFlex Manager. Не помещайте в эти поля IP-адреса DNS-серверов. Если у вас нет альтернативных имен, вам не нужно включать раздел alt_names в файл.
  4. После завершения редактирования файла сохраните изменения: 
    <ESC> :wq!
 
  1. Создайте новый ключ сервера (в примере, который мы используем cert.key имени файла, он может называться как угодно, но должен иметь имя. Расширение файла ключа): 
    openssl genrsa -out cert.key 2048
  2. Создайте новый CSR с конфигурацией CNF: 
    openssl req -new -key cert.key -out cert.csr -config cert.cnf
    1. ВКлючевой файл — это файл, созданный на шаге 6.
    2. Файл .csr может называться как угодно, но он обязательно должен иметь .csr расширение. В данном примере мы используем cert.csr.
    3. Файл .cnf — это файл, созданный на шаге 5.
  3. Убедитесь, что ваш CSR был создан правильно: 
    openssl req -text -in cert.csr -noout
  4. Необходимо скопировать файл CSR с виртуальной машины PowerFlex Manager для отправки на подпись в источник сертификатов (CA). Поскольку файлы были созданы от имени пользователя root, при использовании WinSCP необходимо переместить файл и изменить некоторые разрешения, чтобы скопировать его, так как у пользователя delladmin нет доступа к каталогу /root. Чтобы скопировать файл на локальный компьютер, выполните следующие действия:
    1. Скопируйте файл CSR в каталог /home/delladmin:
cp /root/newcerts/cert.csr /home/delladmin/
  1. Измените разрешения на delladmin ownership: 
    chown delladmin:delladmin /home/delladmin/cert.csr
  2. Используйте WinSCP, чтобы скопировать файл с устройства PFxM, используя учетную запись delladmin для входа.
 
  1. При подписании сертификата убедитесь, что выбран формат экспорта X.509 в кодировке Base-64 (. CER).
Параметры экспорта сертификата
  1. Скопируйте файл CER на устройство PFxM с помощью WinSCP или аналогичного инструмента в каталог /home/delladmin.
  2. Переместите файл CER в каталог newcerts и измените разрешения:
cp /home/delladmin/cert.cer /root/newcerts/
chown root:root /root/newcerts/cert.cer
  1. Создайте резервную копию существующих сертификатов на случай возникновения проблем: 
    mkdir /root/origcerts
cp /etc/pki/tls/certs/localhost.crt  /root/origcerts/
cp /etc/pki/tls/private/localhost.key /root/origcerts/
  2. Замените существующие файлы сертификатов и ключей новыми созданными: 
    cp /root/newcerts/cert.cer /etc/pki/tls/certs/localhost.crt
cp /root/newcerts/cert.key /etc/pki/tls/private/localhost.key
  3. Перезагрузите устройство PFxM и убедитесь, что сертификат применен после возврата виртуальной машины PowerFlex в режим онлайн. Войдите в пользовательский интерфейс и убедитесь, что сертификат правильно отображается в браузере.

受影响的产品

PowerFlex rack, ScaleIO
文章属性
文章编号: 000204726
文章类型: How To
上次修改时间: 18 2月 2025
版本:  3
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。