Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Isilon: PowerScale: OneFS: Como substituir ou renovar o certificado SSL usado para a interface Web de administração do Isilon

Summary: Etapas para renovar ou substituir o certificado SSL da interface Web de administração do OneFS.

This article applies to   This article does not apply to 
Check out resources for

Instructions

Nota: Os comandos neste artigo destinam-se SOMENTE para uso com um cluster do Isilon. Ele não se destina ao uso com um servidor Linux externo.
 
Nota: O Isilon não renova automaticamente o certificado. Ele deve ser renovado manualmente seguindo as etapas deste artigo em um cluster do Isilon.


Introdução

Este artigo explica como substituir ou renovar o Secure Sockets Layer (SSL) da interface Web de administração do Isilon. Os procedimentos a seguir incluem opções para concluir uma substituição ou renovação de certificado autoassinado ou solicitar uma substituição ou renovação de SSL de uma Autoridade de Certificação (CA).


Ferramentas ou habilidades necessárias

Para concluir essa tarefa, você deve ter a URL para acessar a interface Web de administração do Isilon. (Os exemplos neste artigo usam https://isilon.example.com:8080/.) Você também precisa ter familiaridade com a execução de comandos na linha de comando.


Pré-requisitos

Informações de referência
As listas a seguir incluem os locais padrão para o server.crt e server.key arquivos no OneFS 7.0.x e OneFS 8.0.0. Não. Nos procedimentos a seguir, atualize as etapas para corresponder essas informações à versão do OneFS instalada.

OneFS 7.0.x e versões posteriores
  • Certificado SSL:
/usr/local/apache24/conf/ssl.crt/server.crt
  • Chave do certificado SSL:
/usr/local/apache24/conf/ssl.key/server.key
OneFS 8.0.1.x e versões posteriores
  1. Obtenha a lista de certificados a partir da execução do comando abaixo:
isi certificate server list
  1. Salve um backup do certificado e da chave originais (somente do OneFS 7.0.x a 8.0.0.x).
    1. Abra uma conexão SSH com algum nó do cluster e faça login usando a conta "root".
    2. Execute os seguintes comandos para criar um local de backup e salvar a chave e o certificado originais:
mkdir -p /ifs/data/Isilon_Support/original_ssl_backup 
cp /usr/local/apache24/conf/ssl.crt/server.crt /ifs/data/Isilon_Support/original_ssl_backup 
cp /usr/local/apache24/conf/ssl.key/server.key /ifs/data/Isilon_Support/original_ssl_backup 


Procedimento

Crie um diretório de trabalho local. 
mkdir /ifs/local
cd /ifs/local
Verifique se você deseja renovar um certificado existente ou se deseja criar um certificado do zero.
  • Renovar um certificado autoassinado existente.
Isso cria um certificado de renovação baseado no (estoque) existente ssl.key. Execute o seguinte comando para criar um certificado de dois anos. Aumente ou diminua o valor de -days para gerar um certificado com uma data de expiração diferente: 
cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
Responda aos prompts do sistema para concluir o processo a fim de gerar um certificado SSL autoassinado, inserindo as informações apropriadas da sua organização.

Por exemplo: 
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
Ao concluir a inserção das informações, o server.csr e server.key Os arquivos são exibidos no /ifs/local directory.
  • Verifique a integridade e os atributos do certificado (opcional):
openssl x509 -text -noout -in server.crt
Vá para a seção Adicionar o certificado ao cluster deste artigo após esta etapa.
  • Criar um certificado e uma chave.
Este procedimento mostra como criar uma nova chave privada e um novo certificado SSL. Execute o seguinte comando para criar um RSA 2048-bit Chave privada: 
openssl genrsa -out server.key 2048
Crie uma solicitação de assinatura de certificado: 
openssl req -new -nodes -key server.key -out server.csr
Insira as informações apropriadas para sua organização. 
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
  • Gere uma CSR para uma autoridade de certificação que inclua nomes alternativos da entidade (opcional). Se for necessário adicionar DNS adicional, ele poderá ser adicionado usando uma vírgula (,) Por exemplo: DNS:exemplo.com,DNS:www.exemplo.com)
openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
Quando solicitado, digite as informações que devem ser incorporadas à solicitação de certificado. Ao concluir a inserção das informações, o server.csr e server.key Os arquivos são exibidos no /ifs/local directory.

Verifique se deseja assinar o certificado automaticamente ou fazer com que ele seja assinado por uma autoridade de certificação (CA).
  • Autoassinar o certificado SSL.
Para autoassinar o certificado com a chave, execute o comando abaixo. Ele cria um novo certificado autoassinado, válido por dois anos: 
openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
Verifique se a chave corresponde ao certificado. Ambos os comandos devem retornar o mesmo valor md5: 
openssl x509 -noout -modulus -in server.crt | openssl md5           
openssl rsa -noout -modulus -in server.key | openssl md5
Vá para a seção Adicionar o certificado ao cluster deste artigo após esta etapa.
  • Obter o certificado assinado por uma CA.
Se uma CA estiver assinando o certificado, certifique-se de que o novo certificado SSL esteja no formato x509 e inclua toda a cadeia de confiança do certificado.

É comum que a CA retorne o novo certificado SSL, o certificado intermediário e o certificado raiz em arquivos separados.

Se a CA tiver feito isso, você DEVERÁ criar manualmente o certificado formatado de PEM.

O pedido é importante ao criar o certificado formatado de PEM. Seu certificado deve estar na parte superior do arquivo, seguido pelos certificados intermediários, e o certificado raiz deve estar na parte inferior.

Aqui está um exemplo da aparência do arquivo formatado PEM: 
-----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
Uma maneira simples de criar o arquivo formatado PEM a partir da CLI é rastrear os arquivos (lembre-se, a ordem dos arquivos é importante): 
cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
Copie o onefs_pem_formatted.crt arquivo para /ifs/local directory e renomeie-o para server.crt.
 
Nota: Se um arquivo .cer for recebido, renomeie-o para uma extensão .crt.
 
  • Verifique a integridade e os atributos do certificado (opcional):
openssl x509 -text -noout -in server.crt


Adicione o certificado ao cluster:

Para OneFS 7.0.x a 8.0.1.x:
  1. Instale o novo certificado e a nova chave em cada nó:
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable
  1. Se houver um certificado desatualizado ou não utilizado, exclua-o assim que o upgrade para a versão 8.0 for concluído. Siga as instruções na Etapa 5 do OneFS 8.0.1.x e posterior.

Para OneFS 8.0.1.x e versões posteriores:
  1. Importe o novo certificado e a nova chave para o sistema:
isi certificate server import /ifs/local/server.crt /ifs/local/server.key
  1. Verifique se o certificado foi importado com sucesso:
isi certificate server list -v
  1. Defina o certificado importado como padrão:
  • Para o OneFS 8.0 e 8.1, o comando é:
isi certificate server modify --id=<id_of_cert_to_set_as_default> --default
  • Para o OneFS 8.2 e versões posteriores, o comando é:
isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
  1. Use o comando abaixo para confirmar se o certificado importado está sendo usado como padrão, verificando o status de "Default HTTPS Certificate":
isi certificate settings view
  1. Se houver um certificado não utilizado ou desatualizado, exclua-o com o comando:
isi certificate server delete --id=<id_of_cert_to_delete>
  1. Visualize o novo certificado importado com o comando:
isi certificate server view --id=<id_of_cert>
 
Nota: As portas 8081 e 8083 ainda usam o certificado do diretório local para SSL. Siga as etapas abaixo se quiser usar os novos certificados para as portas 8081 e 8083.
  
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable


Verificação

Há dois métodos para verificar o certificado SSL atualizado.
  • Em um navegador da Web:
  1. Navegue até https://<common name>:8080, em <que nome comum> é o nome do host usado para acessar a interface Web de administração do Isilon. Por exemplo, isilon.example.com
  2. Visualize os detalhes de segurança da página da Web. As etapas para fazer isso variam de acordo com o navegador. Em alguns navegadores, basta clicar no ícone de cadeado na barra de endereços para visualizar os detalhes de segurança da página da Web.
  3. Nos detalhes de segurança da página da Web, verifique se a linha de assunto e outros detalhes estão corretos. Um resultado semelhante ao seguinte será exibido em <que seu estado>, <sua cidade> e <sua empresa> são o estado, a cidade e o nome de sua organização:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
  • Em uma linha de comando:
  1. Abra uma conexão SSH com algum nó do cluster e faça login usando a conta "root".
  2. Execute o seguinte comando:
echo QUIT | openssl s_client -connect localhost:8080
  1. Um resultado semelhante ao seguinte será exibido, em <que seu estado>, <sua cidade> e <sua empresa> são o estado, a cidade e o nome de sua organização:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com

Additional Information

Nota: O alerta de evento também é acionado no Isilon, conforme visto abaixo: 
SW_CERTIFICATE_EXPIRING: X.509 certificate default is nearing expiration:

Event: 400170001
Certificate 'default' in '**' store is nearing expiration:

Affected Products

PowerScale OneFS

Products

Isilon