Opmerking: De opdrachten in dit artikel zijn ALLEEN bedoeld voor gebruik met een Isilon cluster. Het is niet bedoeld voor gebruik met een externe Linux-server.
Opmerking: Isilon vernieuwt het certificaat niet automatisch. Het moet handmatig worden verlengd door de stappen in dit artikel te volgen in een Isilon-cluster.
Inleiding
In dit artikel wordt uitgelegd hoe u het SSL-certificaat (Secure Sockets Layer) voor de Isilon-webbeheerinterface kunt vervangen of vernieuwen. De volgende procedures omvatten opties voor het vervangen of vernieuwen van een zelfondertekend certificaat, of het aanvragen van een SSL-vervanging of -verlenging bij een certificeringsinstantie (CA).
Vereiste tools of vaardigheden
Om deze taak te voltooien, moet u de URL hebben voor toegang tot de Isilon-webbeheerinterface. (De voorbeelden in dit artikel gebruiken
https://isilon.example.com:8080/
.) U moet zich ook op uw gemak voelen bij het uitvoeren van opdrachten vanaf de opdrachtregel.
Vereisten
Referentie-informatie
De volgende lijsten bevatten de standaardlocaties voor de
server.crt
als
server.key
bestanden in OneFS 7.0.x en OneFS 8.0.0.
x. Werk in de volgende procedures de stappen bij zodat deze overeenkomen met deze informatie voor de versie van OneFS die is geïnstalleerd.
OneFS 7.0.x en hoger
/usr/local/apache24/conf/ssl.crt/server.crt
/usr/local/apache24/conf/ssl.key/server.key
OneFS 8.0.1.x en hoger
- Verkrijg de lijst met certificaten door de onderstaande opdracht uit te voeren:
isi certificate server list
- Sla een back-up van het oorspronkelijke certificaat en de oorspronkelijke sleutel op (alleen voor OneFS 7.0.x t/m 8.0.0.x).
- Open een SSH-verbinding op een knooppunt in het cluster en meld u aan met het hoofdaccount ("root").
- Voer de volgende opdrachten uit om een back-uplocatie te maken en de oorspronkelijke sleutel en het oorspronkelijke certificaat op te slaan:
mkdir -p /ifs/data/Isilon_Support/original_ssl_backup
cp /usr/local/apache24/conf/ssl.crt/server.crt /ifs/data/Isilon_Support/original_ssl_backup
cp /usr/local/apache24/conf/ssl.key/server.key /ifs/data/Isilon_Support/original_ssl_backup
Procedure
Maak een lokale werkmap.
mkdir /ifs/local
cd /ifs/local
Controleer of u een bestaand certificaat wilt vernieuwen of dat u een geheel nieuw certificaat wilt maken.
- Een bestaand zelfondertekend certificaat vernieuwen.
Hierdoor ontstaat een verlengingscertificaat dat gebaseerd is op de bestaande (voorraad) ssl.key
te installeren. Voer de volgende opdracht uit om een certificaat voor twee jaar te maken. Verhoog of verlaag de waarde voor -days om een certificaat met een andere vervaldatum te genereren:
cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
Beantwoord de systeemprompts om het proces voor het genereren van een zelfondertekend SSL-certificaat te voltooien en voer de juiste informatie voor uw organisatie in.
Bijvoorbeeld:
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
Wanneer u klaar bent met het invoeren van de informatie, wordt de server.csr
als server.key
bestanden worden weergegeven in het /ifs/local directory
te installeren.
- (Optioneel) Controleer de integriteit en kenmerken van het certificaat:
openssl x509 -text -noout -in server.crt
Ga na deze stap naar het gedeelte Het certificaat toevoegen aan het cluster van dit artikel.
- Maak een certificaat en sleutel.
In deze procedure ziet u hoe u een nieuwe persoonlijke sleutel en een nieuw SSL-certificaat maakt. Voer de volgende opdracht uit om een RSA 2048-bit
Private Key:
openssl genrsa -out server.key 2048
Een aanvraag voor certificaatondertekening maken:
openssl req -new -nodes -key server.key -out server.csr
Voer de juiste informatie in voor uw organisatie.
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
- (Optioneel) Genereer een CSR voor een certificeringsinstantie met Subject-Alternative-Names. Als er extra DNS nodig is, kan deze worden toegevoegd met behulp van een komma (,) Bijvoorbeeld: DNS:example.com,DNS:www.example.com)
openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
Typ desgevraagd de informatie die in de certificaataanvraag moet worden opgenomen. Wanneer u klaar bent met het invoeren van de informatie, wordt de server.csr
als server.key
bestanden worden weergegeven in het /ifs/local directory
te installeren.
Controleer of u het certificaat zelf of door een certificeringsinstantie (CA) wilt laten ondertekenen.
- Onderteken zelf het SSL-certificaat.
Als u het certificaat zelf wilt ondertekenen met de sleutel, voert u de onderstaande opdracht uit waardoor een nieuw zelfondertekend certificaat wordt gemaakt dat 2 jaar geldig is:
openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
Controleer of de sleutel overeenkomt met het certificaat. Beide opdrachten moeten dezelfde md5-waarde retourneren:
openssl x509 -noout -modulus -in server.crt | openssl md5
openssl rsa -noout -modulus -in server.key | openssl md5
Ga na deze stap naar het gedeelte Het certificaat toevoegen aan het cluster van dit artikel.
- Laat een CA het certificaat ondertekenen.
Als een CA het certificaat ondertekent, moet u ervoor zorgen dat het nieuwe SSL-certificaat de indeling x509 heeft en de volledige vertrouwensketen van het certificaat omvat.
Het is gebruikelijk dat CA het nieuwe SSL-certificaat, het tussenliggende certificaat en het basiscertificaat in afzonderlijke bestanden retourneert.
Als de CA dit heeft gedaan, MOET u het PEM-geformatteerde certificaat handmatig maken.
Volgorde is van belang bij het maken van het PEM-geformatteerde certificaat. Uw certificaat moet bovenaan het bestand staan, gevolgd door de tussenliggende certificaten, en het basiscertificaat moet onderaan staan.
Hier volgt een voorbeeld van hoe het PEM-geformatteerde bestand eruit ziet:
-----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
Een eenvoudige manier om het PEM-geformatteerde bestand vanuit de CLI te maken, is door de bestanden te caten (onthoud dat de volgorde van de bestanden van belang is):
cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
Kopieer de onefs_pem_formatted.crt
Bestand naar /ifs/local directory
en wijzig de naam in server.crt
te installeren.
Opmerking: Als u een .cer bestand ontvangt, wijzigt u de naam ervan in de extensie .crt.
- (Optioneel) Controleer de integriteit en kenmerken van het certificaat:
openssl x509 -text -noout -in server.crt
Voeg het certificaat toe aan het cluster:
Voor OneFS 7.0.x t/m 8.0.1.x:
- Installeer het nieuwe certificaat en de nieuwe sleutel op elk knooppunt:
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable
- Als er een verouderd of ongebruikt certificaat is, verwijdert u dit zodra de upgrade naar 8.0 is voltooid. Gebruik de aanwijzingen in stap 5 onder OneFS 8.0.1.x en hoger.
Voor OneFS 8.0.1.x en hoger:
- Importeer het nieuwe certificaat en de nieuwe sleutel in het systeem:
isi certificate server import /ifs/local/server.crt /ifs/local/server.key
- Controleer of het certificaat is geïmporteerd:
isi certificate server list -v
- Stel het geïmporteerde certificaat in als standaard:
- Voor OneFS 8.0 en 8.1 is de opdracht:
isi certificate server modify --id=<id_of_cert_to_set_as_default> --default
- Voor OneFS 8.2 en hoger is de opdracht:
isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
- Gebruik de onderstaande opdracht om te bevestigen dat het geïmporteerde certificaat als standaard wordt gebruikt door de status van "Default HTTPS Certificate" te controleren:
isi certificate settings view
- Als er een ongebruikt of verouderd certificaat is, verwijdert u dit met de opdracht:
isi certificate server delete --id=<id_of_cert_to_delete>
- Bekijk het nieuw geïmporteerde certificaat met de opdracht:
isi certificate server view --id=<id_of_cert>
Opmerking: Poorten 8081 en 8083 gebruiken nog steeds het certificaat uit de lokale directory voor SSL. Volg de onderstaande stappen als u de nieuwe certificaten voor poort 8081 en 8083 wilt gebruiken.
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable
Controle
Er zijn twee methoden om het bijgewerkte SSL-certificaat te verifiëren.
- Blader naar
https://<common name>:8080
, waarbij <de algemene naam> de hostnaam is die wordt gebruikt om toegang te krijgen tot de Isilon-webbeheerinterface. Bijvoorbeeld, isilon.example.com
- Bekijk de beveiligingsgegevens voor de webpagina. De stappen om dit te doen verschillen per browser. In sommige browsers klikt u op het hangslotpictogram in de adresbalk om de beveiligingsgegevens voor de webpagina weer te geven.
- Controleer in de beveiligingsgegevens voor de webpagina of de onderwerpregel en andere gegevens correct zijn. Een uitvoer die vergelijkbaar is met het volgende wordt weergegeven, waarbij <uwstaat>, <uwstad> en <uw bedrijf> de staat, plaats en naam van uw organisatie zijn:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
- Open een SSH-verbinding op een knooppunt in het cluster en meld u aan met het hoofdaccount ("root").
- Voer de volgende opdracht uit:
echo QUIT | openssl s_client -connect localhost:8080
- Er wordt een uitvoer weergegeven die vergelijkbaar is met het volgende, waarbij <uwstaat>, <uwstad> en <uw bedrijf> de staat, plaats en naam van uw organisatie zijn:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com