Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Isilon: PowerScale: OneFS: Sådan udskiftes eller fornyes det SSL-certifikat, der bruges til Isilon-webadministrationsgrænsefladen

Summary: Trin til at forny eller erstatte SSL-certifikatet for OneFS-webadministrationsgrænsefladen.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Bemærk: Kommandoerne i denne artikel er KUN beregnet til brug med en Isilon-klynge. Den er ikke beregnet til brug med en ekstern Linux-server.
 
Bemærk: Isilon fornyer ikke certifikatet automatisk. Den skal fornyes manuelt ved at følge trinnene i denne artikel i en Isilon-klynge.


Indledning

Denne artikel beskriver, hvordan du udskifter eller fornyer SSL-certifikatet (Secure Sockets Layer) til Isilon-webadministrationsgrænsefladen. Følgende procedurer omfatter muligheder for at fuldføre en selvsigneret certifikaterstatning eller fornyelse eller for at anmode om en SSL-erstatning eller fornyelse fra et nøglecenter.


Nødvendige værktøjer eller færdigheder

For at fuldføre denne opgave skal du have URL-adressen for at få adgang til Isilon-webadministrationsgrænsefladen. (Eksemplerne i denne artikel bruger https://isilon.example.com:8080/). Du skal også være komfortabel med at køre kommandoer fra kommandolinjen.


Forudsætninger

Referenceoplysninger
Følgende lister indeholder standardplaceringerne for server.crt og server.key filer i OneFS 7.0.x og OneFS 8.0.0. x. I de efterfølgende procedurer skal du opdatere trinnene, så de stemmer overens med disse oplysninger for den version af OneFS, der er installeret.

OneFS 7.0.x og nyere
  • SSL-certifikat:
/usr/local/apache24/conf/ssl.crt/server.crt
  • SSL-certifikatnøgle:
/usr/local/apache24/conf/ssl.key/server.key
OneFS 8.0.1.x og nyere
  1. Få listen over certifikater ved at køre nedenstående kommando:
isi certificate server list
  1. Gem en sikkerhedskopi af det oprindelige certifikat og den oprindelige nøgle (kun for OneFS 7.0.x til 8.0.0.x).
    1. Åbn en SSH -forbindelse på en hvilken som helst node i klyngen, og log ind ved hjælp af "root"-kontoen.
    2. Kør følgende kommandoer for at oprette en sikkerhedskopieringsplacering og gemme den oprindelige nøgle og det oprindelige certifikat:
mkdir -p /ifs/data/Isilon_Support/original_ssl_backup 
cp /usr/local/apache24/conf/ssl.crt/server.crt /ifs/data/Isilon_Support/original_ssl_backup 
cp /usr/local/apache24/conf/ssl.key/server.key /ifs/data/Isilon_Support/original_ssl_backup 


Procedure

Opret en lokal arbejdsmappe.
mkdir /ifs/local
cd /ifs/local
Kontroller, om du vil forny et eksisterende certifikat, eller om du vil oprette et certifikat fra bunden.
  • Forny et eksisterende selvsigneret certifikat.
Dette opretter et fornyelsescertifikat, der er baseret på det eksisterende (lager) ssl.key. Kør følgende kommando for at oprette et toårigt certifikat. Forøg eller formindsk værdien for -dage for at generere et certifikat med en anden udløbsdato:
cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
Besvar systemets prompter om at fuldføre processen med at generere et selvsigneret SSL-certifikat ved at indtaste de relevante oplysninger for din organisation.

For eksempel:
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
Når du er færdig med at indtaste oplysningerne, vises ikonet server.csr og server.key filer vises i /ifs/local directory.
  • (Valgfrit) Kontroller certifikatets integritet og attributter:
openssl x509 -text -noout -in server.crt
Gå efter dette trin til afsnittet Føj certifikatet til klyngen i denne artikel.
  • Opret et certifikat og en nøgle.
Denne procedure viser, hvordan du opretter en ny privat nøgle og SSL-certifikat. Kør følgende kommando for at oprette en RSA 2048-bit Privat nøgle:
openssl genrsa -out server.key 2048
Opret en anmodning om certifikatsignering:
openssl req -new -nodes -key server.key -out server.csr
Angiv de relevante oplysninger for din organisation.
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
  • (Valgfrit) Generer en CSR for en certifikatmyndighed, der indeholder emne-alternative-navne. Hvis der er behov for yderligere DNS, kan det tilføjes ved hjælp af et komma (,) For eksempel: DNS:example.com,DNS:www.example.com)
openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
Når du bliver bedt om det, skal du indtaste de oplysninger, der skal inkorporeres i certifikatanmodningen. Når du er færdig med at indtaste oplysningerne, vises ikonet server.csr og server.key filer vises i /ifs/local directory.

Kontroller, om du vil selvsignere certifikatet eller få det signeret af et nøglecenter.
  • Selvsigner SSL-certifikatet.
For selv at underskrive certifikatet med nøglen skal du køre nedenstående kommando, som opretter et nyt selvsigneret certifikat, der er gyldigt i 2 år:
openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
Kontroller, at nøglen matcher certifikatet, begge kommandoer skal returnere den samme md5-værdi:
openssl x509 -noout -modulus -in server.crt | openssl md5           
openssl rsa -noout -modulus -in server.key | openssl md5
Gå efter dette trin til afsnittet Føj certifikatet til klyngen i denne artikel.
  • Få et nøglecenter til at signere certifikatet.
Hvis et nøglecenter signerer certifikatet, skal du sikre dig, at det nye SSL-certifikat er i x509-format og omfatter hele certifikatets tillidskæde.

Det er almindeligt, at CA returnerer det nye SSL-certifikat, det mellemliggende certifikat og rodcertifikatet i separate filer.

Hvis nøglecenteret har gjort dette, SKAL du oprette det PEM-formaterede certifikat manuelt.

Rækkefølgen betyder noget, når du opretter det PEM-formaterede certifikat. Dit certifikat skal være øverst i filen efterfulgt af de mellemliggende certifikater, og rodcertifikatet skal være nederst.

Her er et eksempel på, hvordan den PEM-formaterede fil ser ud:
-----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
En enkel måde at oprette den PEM-formaterede fil fra CLI er at kategorisere filerne (husk, at filernes rækkefølge betyder noget):
cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
Kopier onefs_pem_formatted.crt fil til /ifs/local directory og omdøbe det til server.crt.
 
Bemærk: Hvis der modtages en .cer fil, skal du omdøbe den til filtypenavnet .crt.
 
  • (Valgfrit) Kontroller certifikatets integritet og attributter:
openssl x509 -text -noout -in server.crt


Føj certifikatet til klyngen:

For OneFS 7.0.x til 8.0.1.x:
  1. Installer det nye certifikat og den nye nøgle på hver node:
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable
  1. Hvis der er et forældet eller ubrugt certifikat, skal du slette det, når opgraderingen til 8.0 er fuldført. Følg anvisningerne i trin 5 under OneFS 8.0.1.x og nyere.

For OneFS 8.0.1.x og nyere:
  1. Importer det nye certifikat og den nye nøgle til systemet:
isi certificate server import /ifs/local/server.crt /ifs/local/server.key
  1. Kontroller, at certifikatet er importeret:
isi certificate server list -v
  1. Angiv det importerede certifikat som standard:
  • For OneFS 8.0 og 8.1 er kommandoen:
isi certificate server modify --id=<id_of_cert_to_set_as_default> --default
  • For OneFS 8.2 og nyere er kommandoen:
isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
  1. Brug nedenstående kommando til at bekræfte, at det importerede certifikat bruges som standard, ved at kontrollere status for "Standard HTTPS-certifikat":
isi certificate settings view
  1. Hvis der er et ubrugt eller forældet certifikat, skal du slette dette med kommandoen:
isi certificate server delete --id=<id_of_cert_to_delete>
  1. Få vist det nye importerede certifikat med kommandoen:
isi certificate server view --id=<id_of_cert>
 
Bemærk: Port 8081 og 8083 bruger stadig certifikatet fra det lokale bibliotek til SSL. Følg nedenstående trin, hvis du vil bruge de nye certifikater til port 8081 og 8083.
 
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable


Verifikation

Der er to metoder til at verificere det opdaterede SSL-certifikat.
  • Fra en webbrowser:
  1. Gå til https://<common name>:8080, hvor <almindeligt navn> er det værtsnavn, der bruges til at få adgang til Isilon-webadministrationsgrænsefladen. F.eks. isilon.example.com
  2. Få vist sikkerhedsoplysningerne for websiden. Trinene til at gøre dette varierer fra browser til browser. I nogle browsere skal du klikke på hængelåsikonet i adresselinjen for at få vist sikkerhedsoplysningerne for websiden.
  3. I sikkerhedsoplysningerne for websiden skal du kontrollere, at emnelinjen og andre detaljer er korrekte. Der vises et output, der ligner det følgende, hvor <dinstat>, <dinhed> og <din virksomhed> er staten, byen og navnet på din organisation:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
  • Fra en kommandolinje:
  1. Åbn en SSH -forbindelse på en hvilken som helst node i klyngen, og log ind ved hjælp af "root"-kontoen.
  2. Kør følgende kommando:
echo QUIT | openssl s_client -connect localhost:8080
  1. Der vises et output, der ligner det følgende, hvor <dinstat>, <dinhed> og <din virksomhed> er staten, byen og navnet på din organisation:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com

Additional Information

Bemærk: Hændelsesalarmen udløses også på Isilon som vist nedenfor:
SW_CERTIFICATE_EXPIRING: X.509 certificate default is nearing expiration:

Event: 400170001
Certificate 'default' in '**' store is nearing expiration:

Affected Products

PowerScale OneFS

Products

Isilon
Article Properties
Article Number: 000157711
Article Type: How To
Last Modified: 01 Aug 2024
Version:  15
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.