Poznámka: Příkazy v tomto článku jsou určeny POUZE pro použití s clusterem Isilon. Není určen k použití s externím serverem Linux.
Poznámka: Systém Isilon certifikát automaticky neobnoví. Je nutné jej obnovit ručně podle kroků v tomto článku v clusteru Isilon.
Úvod
Tento článek vysvětluje, jak nahradit nebo obnovit certifikát SSL (Secure Sockets Layer) pro webové rozhraní správy systému Isilon. Následující postupy zahrnují možnosti dokončení výměny nebo obnovení certifikátu podepsaného držitelem nebo vyžádání výměny či obnovení certifikátu SSL od certifikační autority (CA).
Požadované nástroje nebo dovednosti
K dokončení tohoto úkolu potřebujete zadat adresu URL pro přístup k webovému rozhraní správy Isilon. (Příklady v tomto článku používají
https://isilon.example.com:8080/.) Měli byste také umět spouštět příkazy z příkazového řádku.
Požadavky
Referenční informace
V následujících seznamech jsou uvedena výchozí umístění
server.crt a
server.key soubory v systému OneFS 7.0.x a OneFS 8.0.0.
x. V následujících postupech aktualizujte kroky tak, aby odpovídaly těmto informacím pro nainstalovanou verzi systému OneFS.
OneFS 7.0.x a novější
/usr/local/apache24/conf/ssl.crt/server.crt
/usr/local/apache24/conf/ssl.key/server.key
OneFS 8.0.1.x a novější
- Pomocí následujícího příkazu získáte seznam certifikátů:
isi certificate server list
- Uložte zálohu původního certifikátu a klíče (pouze pro OneFS 7.0.x až 8.0.0.x).
- Navažte připojení SSH s libovolným uzlem v clusteru a přihlaste se pomocí účtu „root“.
- Spuštěním následujících příkazů vytvořte umístění zálohy a uložte původní klíč a certifikát:
mkdir -p /ifs/data/Isilon_Support/original_ssl_backup
cp /usr/local/apache24/conf/ssl.crt/server.crt /ifs/data/Isilon_Support/original_ssl_backup
cp /usr/local/apache24/conf/ssl.key/server.key /ifs/data/Isilon_Support/original_ssl_backup
Postup
Vytvořte místní pracovní adresář.
mkdir /ifs/local
cd /ifs/local
Ověřte, zda chcete obnovit stávající certifikát nebo vytvořit certifikát od začátku.
- Obnovení stávajícího certifikátu podepsaného držitelem
Tím se vytvoří obnovovací certifikát, který je založen na stávajícím (skladovém) ssl.key. Spuštěním následujícího příkazu vytvořte certifikát s platností 2 roky. Zvýšením nebo snížením hodnoty -days vygenerujete certifikátu s jiným datem vypršení platnosti:
cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
Odpovězte na výzvy k dokončení procesu vygenerování certifikátu SSL podepsaného držitelem a zadejte příslušné informace své organizace.
Například:
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
Po dokončení zadávání informací se zobrazí server.csr a server.key Soubory se zobrazí v poli /ifs/local directory.
- (Volitelné) Ověřte integritu a atributy certifikátu:
openssl x509 -text -noout -in server.crt
Po tomto kroku přejděte do části Přidání certifikátu do clusteru tohoto článku.
- Vytvoření certifikátu a klíče
Tento postup ukazuje, jak vytvořit nový soukromý klíč a certifikát SSL. Spuštěním následujícího příkazu vytvořte RSA 2048-bit soukromý klíč:
openssl genrsa -out server.key 2048
Vytvoření žádosti o podpis certifikátu:
openssl req -new -nodes -key server.key -out server.csr
Zadejte příslušné informace pro vaši organizaci.
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
- (Volitelné) Vygenerujte certifikát CSR pro certifikační autoritu, který obsahuje alternativní názvy subjektů. Pokud je potřeba další DNS, lze jej přidat pomocí čárky (,), například: DNS:ukazka.com,DNS:www.ukazka.com)
openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
Po zobrazení výzvy zadejte informace, které chcete zahrnout do žádosti o certifikát. Po dokončení zadávání informací se zobrazí server.csr a server.key Soubory se zobrazí v poli /ifs/local directory.
Ověřte, zda chcete certifikát podepsat svým držitelem nebo jej nechat podepsat certifikační autoritou (CA).
- Podepsání certifikátu SSL držitelem
Chcete-li certifikát podepsat sami pomocí klíče, spusťte následující příkaz, který vytvoří nový certifikát podepsaný držitelem s platností 2 roky:
openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
Ověřte, zda klíč odpovídá certifikátu. Oba příkazy by měly vrátit stejnou hodnotu md5:
openssl x509 -noout -modulus -in server.crt | openssl md5
openssl rsa -noout -modulus -in server.key | openssl md5
Po tomto kroku přejděte do části Přidání certifikátu do clusteru tohoto článku.
- Podepsání certifikátu certifikační autoritou
Pokud certifikát podepisuje certifikační autorita, ujistěte se, že nový certifikát SSL je ve formátu x509 a zahrnuje celý řetězec důvěryhodnosti certifikátů.
Je běžné, že certifikační autorita vrací nový certifikát SSL, zprostředkující certifikát a kořenový certifikát v samostatných souborech.
Pokud to certifikační autorita udělala, je NUTNÉ vytvořit certifikát ve formátu PEM ručně.
Při vytváření certifikátu ve formátu PEM záleží na pořadí. Váš certifikát musí být v horní části souboru, následovaný zprostředkujícími certifikáty a kořenový certifikát musí být dole.
Zde je příklad toho, jak vypadá soubor ve formátu PEM:
-----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
Jednoduchý způsob, jak vytvořit soubor ve formátu PEM z rozhraní příkazového řádku, je hlídat soubory (nezapomeňte, že na pořadí souborů záleží):
cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
Zkopírujte soubor onefs_pem_formatted.crt do souboru do /ifs/local directory a přejmenujte jej na server.crt.
Poznámka: Pokud je přijat soubor .cer, přejmenujte jej na příponu .crt.
- (Volitelné) Ověřte integritu a atributy certifikátu:
openssl x509 -text -noout -in server.crt
Přidejte certifikát do clusteru:
U systému OneFS 7.0.x až 8.0.1.x:
- Nainstalujte nový certifikát a klíč na každý uzel:
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable
- Pokud existuje zastaralý nebo nepoužívaný certifikát, odstraňte ho po dokončení upgradu na verzi 8.0. Použijte pokyny v kroku 5 v systému OneFS 8.0.1.x a novějším.
U systému OneFS 8.0.1.x a novějších:
- Importujte nový certifikát a klíč do systému:
isi certificate server import /ifs/local/server.crt /ifs/local/server.key
- Ověřte, zda byl certifikát úspěšně importován:
isi certificate server list -v
- Nastavte importovaný certifikát jako výchozí:
- Pro systém OneFS 8.0 a 8.1 je potřebný příkaz:
isi certificate server modify --id=<id_of_cert_to_set_as_default> --default
- Pro systém OneFS 8.2 a novější je to příkaz:
isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
- Pomocí níže uvedeného příkazu ověřte, zda je importovaný certifikát používán jako výchozí. Zobrazí se stav „Default HTTPS Certificate“:
isi certificate settings view
- Pokud existuje nepoužívaný nebo zastaralý certifikát, odstraňte jej pomocí příkazu:
isi certificate server delete --id=<id_of_cert_to_delete>
- Zobrazte nový importovaný certifikát pomocí příkazu:
isi certificate server view --id=<id_of_cert>
Poznámka: Porty 8081 a 8083 stále používají certifikát z místního adresáře pro protokol SSL. Pokud chcete použít nové certifikáty pro porty 8081 a 8083, postupujte podle následujících kroků.
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable
Ověření
Aktualizovaný certifikát SSL lze ověřit dvěma způsoby.
- Přejděte na
https://<common name>:8080, kde <běžný název> je název hostitele, který se používá pro přístup k webovému rozhraní správy Isilon. Například isilon.example.com
- Prohlédněte si podrobnosti o zabezpečení webové stránky. Postup se liší podle prohlížeče. V některých prohlížečích můžete kliknutím na ikonu visacího zámku v adresním řádku zobrazit podrobnosti o zabezpečení webové stránky.
- V podrobnostech o zabezpečení webové stránky ověřte, zda jsou předmět a další podrobnosti správné. Zobrazí se výstup podobný následujícímu, kde <yourstate>, <yourcity> a <vaše společnost> představují stát, město a název vaší organizace:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
- Navažte připojení SSH s libovolným uzlem v clusteru a přihlaste se pomocí účtu „root“.
- Zadejte následující příkaz:
echo QUIT | openssl s_client -connect localhost:8080
- Zobrazí se výstup podobný následujícímu, kde <yourstate>, <yourcity> a <vaše společnost> jsou stát, město a název vaší organizace:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com