Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Isilon: PowerScale: OneFS: So ersetzen oder erneuern Sie das SSL-Zertifikat für die Isilon-Webverwaltungsoberfläche

Summary: Schritte zum Erneuern oder Ersetzen des SSL-Zertifikats für die OneFS-Webverwaltungsschnittstelle.

This article applies to   This article does not apply to 
Check out resources for

Instructions

Hinweis: Die Befehle in diesem Artikel sind AUSSCHLIESSLICH für die Verwendung mit einem Isilon-Cluster vorgesehen. Es ist nicht für die Verwendung mit einem externen Linux-Server vorgesehen.
 
Hinweis: Isilon erneuert das Zertifikat nicht automatisch. Sie muss manuell erneuert werden, indem Sie die Schritte in diesem Artikel in einem Isilon-Cluster befolgen.


Einführung

In diesem Artikel wird erläutert, wie Sie das SSL-Zertifikat (Secure Sockets Layer) für die Isilon-Webverwaltungsoberfläche ersetzen oder erneuern. Die folgenden Verfahren umfassen Optionen für das Ersetzen oder Erneuern eines selbstsignierten Zertifikats und für das Anfordern eines SSL-Zertifikatersatzes oder einer -erneuerung von einer Zertifizierungsstelle (CA).


Erforderliche Tools oder Fähigkeiten

Zum Ausführen dieser Aufgabe benötigen Sie die URL für den Zugriff auf die Webverwaltungsschnittstelle von Isilon. (In den Beispielen in diesem Artikel wird https://isilon.example.com:8080/.) Sie sollten auch mit dem Ausführen von Befehlen über die Befehlszeile vertraut sein.


Voraussetzungen

Referenzinformationen
Die folgenden Listen enthalten die Standardspeicherorte für die server.crt und server.key Dateien in OneFS 7.0.x und OneFS 8.0.0. x. Aktualisieren Sie in den folgenden Verfahren die Schritte so, dass diese Informationen für die installierte Version von OneFS übereinstimmen.

OneFS 7.0.x und höher
  • SSL-Zertifikat:
/usr/local/apache24/conf/ssl.crt/server.crt
  • SSL-Zertifikatschlüssel:
/usr/local/apache24/conf/ssl.key/server.key
OneFS 8.0.1.x und höher
  1. Rufen Sie die Liste der Zertifikate mit dem folgenden Befehl ab:
isi certificate server list
  1. Speichern Sie ein Backup des ursprünglichen Zertifikats und Schlüssels (nur für OneFS 7.0.x bis 8.0.0.x).
    1. Öffnen Sie eine SSH-Verbindung auf einem beliebigen Node im Cluster und melden Sie sich mit dem „root“-Konto an.
    2. Führen Sie die folgenden Befehle aus, um einen Backupspeicherort zu erstellen und den ursprünglichen Schlüssel und das Zertifikat zu speichern:
mkdir -p /ifs/data/Isilon_Support/original_ssl_backup 
cp /usr/local/apache24/conf/ssl.crt/server.crt /ifs/data/Isilon_Support/original_ssl_backup 
cp /usr/local/apache24/conf/ssl.key/server.key /ifs/data/Isilon_Support/original_ssl_backup 


Verfahren

Erstellen Sie ein lokales Arbeitsverzeichnis. 
mkdir /ifs/local
cd /ifs/local
Überprüfen Sie, ob Sie ein vorhandenes Zertifikat erneuern oder ein Zertifikat von Grund auf neu erstellen möchten.
  • Erneuern eines vorhandenen selbstsignierten Zertifikats
Dadurch wird ein Erneuerungszertifikat erstellt, das auf dem vorhandenen (Bestand) basiert ssl.keyübergeben. Führen Sie den folgenden Befehl aus, um ein 2-Jahres-Zertifikat zu erstellen: Erhöhen oder verringern Sie den Wert für „-days“, um ein Zertifikat mit einem anderen Ablaufdatum zu erzeugen: 
cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
Befolgen Sie die Systemaufforderungen, um den Vorgang für die Erzeugung eines selbstsignierten SSL-Zertifikats abzuschließen, und geben Sie die entsprechenden Informationen zu Ihrem Unternehmen ein.

Zum Beispiel: 
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
Wenn Sie mit der Eingabe der Informationen fertig sind, wird das Symbol server.csr und server.key Dateien werden im Verzeichnis /ifs/local directoryübergeben.
  • (Optional) Überprüfen Sie die Integrität und Attribute des Zertifikats:
openssl x509 -text -noout -in server.crt
Navigieren Sie nach diesem Schritt zum Abschnitt Hinzufügen des Zertifikats zum Cluster in diesem Artikel.
  • Erzeugen eines Zertifikats und Schlüssels
In diesem Verfahren wird gezeigt, wie Sie einen neuen privaten Schlüssel und ein neues SSL-Zertifikat erstellen. Führen Sie den folgenden Befehl aus, um eine RSA 2048-bit privater Schlüssel: 
openssl genrsa -out server.key 2048
Erstellen Sie eine Zertifikatsignieranforderung: 
openssl req -new -nodes -key server.key -out server.csr
Geben Sie die entsprechenden Informationen für Ihr Unternehmen ein. 
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
  • (Optional) Erzeugen Sie eine Signieranforderung für eine Zertifizierungsstelle, die „Subject-Alternative-Names“ enthält. Wenn zusätzliches DNS erforderlich ist, kann es durch ein Komma (,) hinzugefügt werden. Beispiel: DNS:example.com,DNS:www.example.com).
openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
Wenn Sie dazu aufgefordert werden, geben Sie die Informationen ein, die in die Zertifikatanforderung aufgenommen werden sollen. Wenn Sie mit der Eingabe der Informationen fertig sind, wird das Symbol server.csr und server.key Dateien werden im Verzeichnis /ifs/local directoryübergeben.

Überprüfen Sie, ob Sie das Zertifikat selbst signieren oder von einer Zertifizierungsstelle (CA) signieren lassen möchten.
  • Selbstsignierung des SSL-Zertifikats
Um das Zertifikat mit dem Schlüssel selbst zu signieren, führen Sie den folgenden Befehl aus, mit dem ein neues selbstsigniertes Zertifikat erzeugt wird, das 2 Jahre gültig ist: 
openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
Stellen Sie sicher, dass der Schlüssel mit dem Zertifikat übereinstimmt. Beide Befehle sollten denselben md5-Wert zurückgeben: 
openssl x509 -noout -modulus -in server.crt | openssl md5           
openssl rsa -noout -modulus -in server.key | openssl md5
Navigieren Sie nach diesem Schritt zum Abschnitt Hinzufügen des Zertifikats zum Cluster in diesem Artikel.
  • Signierung des Zertifikats durch eine Zertifizierungsstelle
Wenn das Zertifikat von einer Zertifizierungsstelle signiert wird, stellen Sie sicher, dass das neue SSL-Zertifikat im x509-Format vorliegt und die gesamte Vertrauenskette des Zertifikats enthält.

Es ist üblich, dass CAs das neue SSL-Zertifikat, das Zwischenzertifikat und das Stammzertifikat in separaten Dateien zurückgeben.

Wenn die Zertifizierungsstelle dies getan hat, MÜSSEN Sie das PEM-formatierte Zertifikat manuell erstellen.

Bei der Erstellung des PEM-formatierten Zertifikats kommt es auf die Reihenfolge an. Ihr Zertifikat muss sich oben in der Datei befinden, gefolgt von den Zwischenzertifikaten und das Stammzertifikat muss sich unten befinden.

Hier ist ein Beispiel dafür, wie die PEM-formatierte Datei aussieht: 
-----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
Eine einfache Möglichkeit, die PEM-formatierte Datei über die CLI zu erstellen, besteht darin, die Dateien zu katen (denken Sie daran, dass die Reihenfolge der Dateien wichtig ist): 
cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
Kopieren Sie die Datei onefs_pem_formatted.crt Datei nach /ifs/local directory und benennen Sie es um in server.crtübergeben.
 
Hinweis: Wenn eine .cer Datei empfangen wird, benennen Sie sie in die Erweiterung .crt um.
 
  • (Optional) Überprüfen Sie die Integrität und Attribute des Zertifikats:
openssl x509 -text -noout -in server.crt


Fügen Sie das Zertifikat zum Cluster hinzu:

Für OneFS 7.0.x bis 8.0.1.x:
  1. Installieren Sie das neue Zertifikat und den neuen Schlüssel auf jedem Node:
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable
  1. Wenn ein veraltetes oder nicht verwendetes Zertifikat vorhanden ist, löschen Sie es, sobald das Upgrade auf 8.0 abgeschlossen ist. Befolgen Sie die Anweisungen in Schritt 5 unter OneFS 8.0.1.x und höher.

Für OneFS 8.0.1.x und höher:
  1. Importieren Sie das neue Zertifikat und den neuen Schlüssel in das System:
isi certificate server import /ifs/local/server.crt /ifs/local/server.key
  1. Überprüfen Sie, ob das Zertifikat erfolgreich importiert wurde:
isi certificate server list -v
  1. Legen Sie das importierte Zertifikat als Standard fest:
  • Für OneFS 8.0 und 8.1 lautet der Befehl:
isi certificate server modify --id=<id_of_cert_to_set_as_default> --default
  • Für OneFS 8.2 und höher lautet der Befehl:
isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
  1. Verwenden Sie den folgenden Befehl, um zu bestätigen, dass das importierte Zertifikat als Standard verwendet wird, indem Sie den Status von „Default HTTPS Certificate“ überprüfen:
isi certificate settings view
  1. Wenn ein nicht verwendetes oder veraltetes Zertifikat vorhanden ist, löschen Sie es mit dem Befehl:
isi certificate server delete --id=<id_of_cert_to_delete>
  1. Zeigen Sie das neue importierte Zertifikat mit dem folgenden Befehl an:
isi certificate server view --id=<id_of_cert>
 
Hinweis: Die Ports 8081 und 8083 verwenden für SSL weiterhin das Zertifikat aus dem lokalen Verzeichnis. Führen Sie die folgenden Schritte aus, wenn Sie die neuen Zertifikate für Port 8081 und 8083 verwenden möchten.
  
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable


Überprüfung:

Es gibt zwei Methoden zur Überprüfung des aktualisierten SSL-Zertifikats.
  • Über einen Webbrowser:
  1. Navigieren Sie zu https://<common name>:8080, wobei <"Common Name"> der Hostname ist, der für den Zugriff auf die Isilon-Webverwaltungsschnittstelle verwendet wird. Zum Beispiel: isilon.example.com
  2. Überprüfen Sie die Sicherheitsdetails für die Webseite. Die Schritte dazu variieren je nach Browser. Bei manchen Browsern klicken Sie hierfür auf das Vorhängeschloss in der Adressleiste.
  3. Überprüfen Sie in den Sicherheitsdetails für die Webseite, ob die Betreffzeile und andere Details korrekt sind. Es wird eine Ausgabe ähnlich der folgenden angezeigt, wobei <Ihr Staat>, <Ihre Stadt> und Ihr Unternehmen> das Bundesland, die Stadt und <der Name Ihrer Organisation sind:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
  • Über eine Befehlszeile:
  1. Öffnen Sie eine SSH-Verbindung auf einem beliebigen Node im Cluster und melden Sie sich mit dem „root“-Konto an.
  2. Führen Sie den folgenden Befehl aus:
echo QUIT | openssl s_client -connect localhost:8080
  1. Es wird eine Ausgabe ähnlich der folgenden angezeigt, wobei <Ihr Staat>, <Ihre Stadt> und Ihr Unternehmen> das Bundesland, die Stadt und <der Name Ihrer Organisation sind:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com

Additional Information

Hinweis: Eine Ereigniswarnmeldung wird auch auf Isilon ausgelöst, wie unten dargestellt: 
SW_CERTIFICATE_EXPIRING: X.509 certificate default is nearing expiration:

Event: 400170001
Certificate 'default' in '**' store is nearing expiration:

Affected Products

PowerScale OneFS

Products

Isilon