Примітка: Команди в цій статті призначені ТІЛЬКИ для використання з кластером Isilon. Він не призначений для використання із зовнішнім сервером Linux.
Примітка: Isilon не продовжує сертифікат автоматично. Його потрібно оновити вручну, виконавши дії, описані в цій статті, в кластері Isilon.
Введення
У цій статті пояснюється, як замінити або поновити сертифікат Secure Sockets Layer (SSL) для веб-інтерфейсу адміністрування isilon. Наведені нижче процедури включають можливість заміни або поновлення сертифіката, підписаного власним підписом, або запит на заміну чи поновлення SSL від центру сертифікації (CA).
Необхідні інструменти або навички
Щоб виконати це завдання, у вас повинен бути URL-адреса для доступу до інтерфейсу веб-адміністрування Isilon. (У прикладах у цій статті використовуються
https://isilon.example.com:8080/.) Вам також має бути зручно виконувати команди з командного рядка.
Передумови
Довідкова інформація
Наступні списки містять розташування за замовчуванням для
server.crt і
server.key файли в OneFS 7.0.x і OneFS 8.0.0.
х. У наведених нижче процедурах оновіть кроки, щоб вони відповідали цій інформації для інстальованої версії OneFS.
OneFS 7.0.x і новіші версії
/usr/local/apache24/conf/ssl.crt/server.crt
/usr/local/apache24/conf/ssl.key/server.key
OneFS 8.0.1.x і новіші версії
- Отримайте список сертифікатів, виконавши наведену нижче команду:
isi certificate server list
- Збережіть резервну копію оригінального сертифіката та ключа (лише для OneFS від 7.0.x до 8.0.0.x).
- Відкрийте SSH-з'єднання на будь-якому вузлі кластера та авторизуйтесь за допомогою облікового запису "root".
- Виконайте такі команди, щоб створити резервне розташування та зберегти оригінальний ключ і сертифікат:
mkdir -p /ifs/data/Isilon_Support/original_ssl_backup
cp /usr/local/apache24/conf/ssl.crt/server.crt /ifs/data/Isilon_Support/original_ssl_backup
cp /usr/local/apache24/conf/ssl.key/server.key /ifs/data/Isilon_Support/original_ssl_backup
Процедура
Створіть локальну робочу директорію.
mkdir /ifs/local
cd /ifs/local
Перевірте, чи хочете ви поновити наявний сертифікат або створити сертифікат з нуля.
- Поновіть існуючий Сертифікат із власним підписом.
При цьому створюється сертифікат продовження, який базується на існуючому (запасі) ssl.key. Виконайте наведену нижче команду, щоб створити дворічний сертифікат. Збільште або зменшіть значення для -днів, щоб згенерувати сертифікат з іншим терміном дії:
cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
Відповідь на запити системи запропонує завершити процес генерації самопідписаного SSL-сертифіката, ввівши відповідну інформацію для вашої організації.
Наприклад:
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
Після завершення введення інформації, server.csr і server.key файли з'являються в об'єкті /ifs/local directory.
- (Необов'язково) Перевірте цілісність та атрибути сертифіката:
openssl x509 -text -noout -in server.crt
Після цього кроку перейдіть до розділу Додати сертифікат до розділу кластера цієї статті.
- Створіть сертифікат і ключ.
Ця процедура показує, як створити новий приватний ключ і SSL-сертифікат. Виконайте наступну команду, щоб створити RSA 2048-bit Приватний ключ:
openssl genrsa -out server.key 2048
Створіть запит на підписання сертифіката:
openssl req -new -nodes -key server.key -out server.csr
Введіть відповідну інформацію для вашої організації.
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
- (Необов'язково) Створіть CSR для центру сертифікації, який включає Subject-Alternative-Names. Якщо потрібен додатковий DNS, його можна додати, використовуючи кому (,) Наприклад: DNS:example.com,DNS:www.example.com)
openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
Коли з'явиться запит, введіть інформацію, яку потрібно включити до запиту сертифіката. Після завершення введення інформації, server.csr і server.key файли з'являються в об'єкті /ifs/local directory.
Перевірте, чи хочете ви самостійно підписати сертифікат або отримати підпис від центру сертифікації (CA).
- Самостійно підпишіть SSL-сертифікат.
Щоб самостійно підписати сертифікат за допомогою ключа, запустіть наведену нижче команду, яка створює новий самопідписаний сертифікат, дійсний протягом 2 років:
openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
Переконайтеся, що ключ збігається з сертифікатом, обидві команди повинні повертати однакове значення md5:
openssl x509 -noout -modulus -in server.crt | openssl md5
openssl rsa -noout -modulus -in server.key | openssl md5
Після цього кроку перейдіть до розділу Додати сертифікат до розділу кластера цієї статті.
- Отримайте ЦС для підписання сертифіката.
Якщо сертифікат підписує ЦС, переконайтеся, що новий сертифікат SSL має формат x509 і включає весь ланцюжок довіри сертифіката.
Зазвичай ЦС повертає новий сертифікат SSL, проміжний сертифікат і кореневий сертифікат у вигляді окремих файлів.
Якщо ЦС це зробив, ви ПОВИННІ вручну створити сертифікат у форматі PEM.
Порядок має значення під час створення сертифіката у форматі PEM. Ваш сертифікат має бути у верхній частині файлу, за ним слідують проміжні сертифікати, а кореневий сертифікат має бути внизу.
Ось приклад того, як виглядає файл у форматі PEM:
-----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
Простим способом створення файлу у форматі PEM з інтерфейсу командного рядка є об'єднання файлів (пам'ятайте, порядок файлів має значення):
cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
Скопіюйте файл onefs_pem_formatted.crt файл до /ifs/local directory і перейменуйте його на server.crt.
Примітка: Якщо отримано файл .cer, перейменуйте його на розширення .crt.
- (Необов'язково) Перевірте цілісність та атрибути сертифіката:
openssl x509 -text -noout -in server.crt
Додайте сертифікат до кластеру:
Для OneFS від 7.0.x до 8.0.1.x:
- Встановіть новий сертифікат і ключ на кожен вузол:
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable
- Якщо є застарілий або невикористовуваний сертифікат, видаліть його після завершення оновлення до 8.0. Дотримуйтесь вказівок, наведених у кроці 5 під OneFS 8.0.1.x або пізніших версій.
Для OneFS 8.0.1.x і новіших версій:
- Імпортуйте новий сертифікат та ключ у систему:
isi certificate server import /ifs/local/server.crt /ifs/local/server.key
- Переконайтеся, що сертифікат успішно імпортовано.
isi certificate server list -v
- Встановіть імпортований сертифікат за замовчуванням:
- Для OneFS 8.0 і 8.1 команда така:
isi certificate server modify --id=<id_of_cert_to_set_as_default> --default
- Для OneFS 8.2 і пізніших версій команда така:
isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
- Скористайтеся наведеною нижче командою, щоб підтвердити, що імпортований сертифікат використовується за замовчуванням, перевіривши статус «Сертифікат HTTPS за замовчуванням»:
isi certificate settings view
- Якщо є невикористаний або застарілий сертифікат, видаліть його за допомогою команди:
isi certificate server delete --id=<id_of_cert_to_delete>
- Перегляньте новий імпортований сертифікат за допомогою команди:
isi certificate server view --id=<id_of_cert>
Примітка: Порти 8081 і 8083 все ще використовують сертифікат з локального каталогу для SSL. Дотримуйтесь наведених нижче кроків, якщо ви хочете використовувати нові сертифікати для портів 8081 і 8083.
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable
Верифікація
Існує два методи перевірки оновленого SSL-сертифіката.
- Перейдіть до
https://<common name>:8080, де <загальне ім'я> – це ім'я хоста, яке використовується для доступу до інтерфейсу веб-адміністрування Isilon. Наприклад isilon.example.com
- Перегляньте відомості про безпеку веб-сторінки. Кроки для цього залежать від веб-переглядача. У деяких браузерах натисніть значок замка в адресному рядку, щоб переглянути відомості про безпеку веб-сторінки.
- У відомостях про безпеку веб-сторінки перевірте правильність рядка теми та інших відомостей. Відображається результат, подібний до наведеного нижче, де <ваш штат>, <ваше місто> та <ваша компанія> є штатом, містом та назвою вашої організації:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
- Відкрийте SSH-з'єднання на будь-якому вузлі кластера та авторизуйтесь за допомогою облікового запису "root".
- Виконайте наступну команду:
echo QUIT | openssl s_client -connect localhost:8080
- Відображається результат, аналогічний наступному, де <ваш стан>, <ваше місто> та <ваша компанія> є штатом, містом та назвою вашої організації:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com