Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Isilon: PowerScale: OneFS: Isilon-hallintakäyttöliittymässä käytettävän SSL-varmenteen vaihtaminen tai uusiminen

Summary: OneFS-hallintakäyttöliittymän SSL-varmenteen uusimisen tai vaihtamisen vaiheet.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Huomautus: Tämän artikkelin komennot on tarkoitettu VAINkäytettäväksi Isilon-klusterin kanssa. Sitä ei ole tarkoitettu käytettäväksi ulkoisen Linux-palvelimen kanssa.
 
Huomautus: Isilon ei uusi varmennetta automaattisesti. Se on uusittava manuaalisesti tämän artikkelin ohjeiden mukaisesti Isilon-klusterissa.


Johdanto

Tässä artikkelissa kerrotaan, miten Isilon-hallintakäyttöliittymän SSL (Secure Sockets Layer) -varmenne vaihdetaan tai uusitaan. Seuraavissa menettelyissä on erilaisia vaihtoehtoja itse allekirjoitetun varmenteen korvaamisen tai uusimisen suorittamiseksi tai SSL-kelpoisuuden korvaamiseksi tai uusimiseksi varmenteen myöntäjältä (CA).


Tarvittavat työkalut tai taidot

Jotta voit suorittaa tämän tehtävän, sinulla on oltava URL-osoite, jolla pääset Isilonin verkkohallintakäyttöliittymään. (Tämän artikkelin esimerkeissä käytetään https://isilon.example.com:8080/.) Sinun pitäisi myös olla mukava suorittaa komentoja komentoriviltä.


Edellytykset

Viitetiedot
Seuraavat luettelot sisältävät server.crt ja server.key OneFS 7.0.x- ja OneFS 8.0.0 -tiedostot. x. Päivitä seuraavissa toimenpiteissä vaiheet vastaamaan näitä tietoja asennetun OneFS-version mukaan.

OneFS 7.0.x ja uudemmat
  • SSL-sertifikaatti:
/usr/local/apache24/conf/ssl.crt/server.crt
  • SSL-varmenneavain:
/usr/local/apache24/conf/ssl.key/server.key
OneFS 8.0.1.x ja uudemmat
  1. Saat varmenneluettelon suorittamalla seuraavan komennon:
isi certificate server list
  1. Tallenna alkuperäisen varmenteen ja avaimen varmuuskopio (vain OneFS 7.0.x–8.0.0.x).
    1. Avaa SSH-yhteys johonkin klusterin solmuun ja kirjaudu sisään root-tilillä.
    2. Luo varmuuskopiosijainti ja tallenna alkuperäinen avain ja varmenne suorittamalla seuraavat komennot:
mkdir -p /ifs/data/Isilon_Support/original_ssl_backup 
cp /usr/local/apache24/conf/ssl.crt/server.crt /ifs/data/Isilon_Support/original_ssl_backup 
cp /usr/local/apache24/conf/ssl.key/server.key /ifs/data/Isilon_Support/original_ssl_backup 


Toimenpide

Luo paikallinen työhakemisto.
mkdir /ifs/local
cd /ifs/local
Tarkista, haluatko uusia olemassa olevan varmenteen vai haluatko luoda varmenteen alusta alkaen.
  • Olemassa olevan itse allekirjoitetun varmenteen uusiminen.
Tämä luo uusimisvarmenteen, joka perustuu olemassa olevaan (varastoon) ssl.key. Luo kahden vuoden varmenne suorittamalla seuraava komento. Lisää tai pienennä -days-arvoa, jos haluat luoda varmenteen, jolla on eri vanhentumispäivämäärä:
cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
Vastaa järjestelmäkehotteisiin ja luo itse allekirjoitettu SSL-varmenne ja anna organisaatiollesi tarvittavat tiedot.

Esimerkiksi:
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
Kun olet syöttänyt tiedot, server.csr ja server.key Tiedostot näkyvät /ifs/local directory.
  • (Valinnainen) Tarkista varmenteen eheys ja ominaisuudet:
openssl x509 -text -noout -in server.crt
Siirry tämän vaiheen jälkeen kohtaan Varmenteen lisääminen klusteriin -osa.
  • Luo varmenne ja avain.
Tässä kerrotaan, miten uusi yksityinen avain ja SSL-varmenne luodaan. Luo seuraavalla komennolla RSA 2048-bit yksityinen avain:
openssl genrsa -out server.key 2048
Luo varmenteen allekirjoituspyyntö:
openssl req -new -nodes -key server.key -out server.csr
Anna organisaatiotasi varten tarvittavat tiedot.
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
  • (Valinnainen) Luo varmenteen myöntäjälle CSR, joka sisältää Subject-Alternative-Names. Jos tarvitaan lisää DNS:ää, se voidaan lisätä pilkulla (,) Esimerkiksi: DNS:example.com,DNS:www.example.com)
openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
Kirjoita pyydettäessä varmennepyyntöön sisällytettävät tiedot. Kun olet syöttänyt tiedot, server.csr ja server.key Tiedostot näkyvät /ifs/local directory.

Tarkista, haluatko allekirjoittaa varmenteen itse vai pyytää varmenteen myöntäjää (CA) allekirjoittamaan sen.
  • Allekirjoita SSL-varmenne itse.
Voit allekirjoittaa varmenteen itse suorittamalla seuraavan komennon, joka luo uuden itse allekirjoitetun varmenteen, joka on voimassa 2 vuotta:
openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
Varmista, että avain vastaa varmennetta. Molempien komentojen pitäisi palauttaa sama md5-arvo:
openssl x509 -noout -modulus -in server.crt | openssl md5           
openssl rsa -noout -modulus -in server.key | openssl md5
Siirry tämän vaiheen jälkeen kohtaan Varmenteen lisääminen klusteriin -osa.
  • Hanki varmenteiden myöntäjä, jotta voit allekirjoittaa varmenteen.
Jos varmenteiden myöntäjä allekirjoittaa varmenteen, varmista, että uusi SSL-varmenne on x509-muodossa ja sisältää koko varmenteen luottamusketjun.

On tavallista, että CA palauttaa uuden SSL-varmenteen, välivarmenteen ja juurivarmenteen erillisinä tiedostoina.

Jos varmenteiden myöntäjä on tehnyt tämän, sinun TÄYTYY luoda PEM-muotoinen varmenne manuaalisesti.

Tilauksella on merkitystä PEM-muotoista varmennetta luotaessa. Varmenteen on oltava tiedoston yläosassa, sen jälkeen välivarmenteiden ja päävarmenteen alareunassa.

Tässä on esimerkki siitä, miltä PEM-muotoinen tiedosto näyttää:
-----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
Helppo tapa luoda PEM-muotoinen tiedosto komentoriviliittymässä on käsitellä tiedostot (muista, että tiedostojen järjestyksellä on merkitystä):
cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
Kopioi onefs_pem_formatted.crt tiedosto osoitteeseen /ifs/local directory ja nimeä se uudelleen server.crt.
 
Huomautus: Jos vastaanotat .cer tiedoston, nimeä se uudelleen .crt-tunnisteeksi.
 
  • (Valinnainen) Tarkista varmenteen eheys ja ominaisuudet:
openssl x509 -text -noout -in server.crt


Lisää varmenne klusteriin:

OneFS 7.0.x–8.0.1.x:
  1. Asenna uusi varmenne ja avain jokaiseen solmuun:
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable
  1. Jos varmenne on vanhentunut tai käyttämätön, poista se, kun päivitys 8.0-versioon on valmis. Käytä OneFS 8.0.1.x -version ja uudempien vaiheen 5 ohjeita.

OneFS 8.0.1.x ja uudemmat:
  1. Tuo uusi varmenne ja avain järjestelmään:
isi certificate server import /ifs/local/server.crt /ifs/local/server.key
  1. Varmista, että varmenteen tuonti onnistui:
isi certificate server list -v
  1. Aseta tuotu varmenne oletukseksi:
  • OneFS 8.0- ja 8.1-versioissa komento on seuraava:
isi certificate server modify --id=<id_of_cert_to_set_as_default> --default
  • OneFS 8.2:ssa ja uudemmissa komento on:
isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
  1. Varmista alla olevalla komennolla, että tuotua varmennetta käytetään oletuksena, tarkistamalla Default HTTPS Certificate -tila:
isi certificate settings view
  1. Jos varmenne on käyttämätön tai vanhentunut, poista se komennolla
isi certificate server delete --id=<id_of_cert_to_delete>
  1. Tarkastele uutta tuotua varmennetta komennolla
isi certificate server view --id=<id_of_cert>
 
Huomautus: Portit 8081 ja 8083 käyttävät edelleen SSL:n paikallisen hakemiston varmennetta. Noudata alla olevia ohjeita, jos haluat käyttää portin 8081 ja 8083 uusia varmenteita.
 
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable


Vahvistus

Päivitetty SSL-varmenne voidaan tarkistaa kahdella tavalla.
  • Verkkoselaimella:
  1. Siirry kohtaan https://<common name>:8080, jossa <yleisnimi> on isäntänimi, jolla Isilon-hallintaliittymää käytetään. Esimerkki: isilon.example.com
  2. Tarkastele verkkosivun suojaustietoja. Tämän tekemisen vaiheet vaihtelevat selaimen mukaan. Napsauta joissakin selaimissa osoiterivin riippulukkokuvaketta nähdäksesi verkkosivun suojaustiedot.
  3. Varmista verkkosivun suojaustiedoista, että aiherivi ja muut tiedot ovat oikein. Näyttöön tulee seuraavankaltainen tulos, jossa <oma osavaltiosi>, <kaupunkisi> ja <yrityksesi> ovat organisaatiosi osavaltio, kaupunki ja nimi:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
  • Komentorivillä:
  1. Avaa SSH-yhteys johonkin klusterin solmuun ja kirjaudu sisään root-tilillä.
  2. Suorita seuraava komento:
echo QUIT | openssl s_client -connect localhost:8080
  1. Näyttöön tulee seuraavankaltainen tulos, jossa <oma osavaltio<>, kaupunki> ja <yrityksesi> ovat organisaatiosi osavaltio, kaupunki ja nimi:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com

Additional Information

Huomautus: Tapahtumahälytys käynnistyy myös Isilonissa alla kuvatulla tavalla:
SW_CERTIFICATE_EXPIRING: X.509 certificate default is nearing expiration:

Event: 400170001
Certificate 'default' in '**' store is nearing expiration:

Affected Products

PowerScale OneFS

Products

Isilon
Article Properties
Article Number: 000157711
Article Type: How To
Last Modified: 01 Aug 2024
Version:  15
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.