Merk: Kommandoene i denne artikkelen er BARE ment for bruk med en Isilon-klynge. Den er ikke beregnet for bruk med en ekstern Linux-server.
Merk: Isilon fornyer ikke sertifikatet automatisk. Den må fornyes manuelt ved å følge trinnene i denne artikkelen i en Isilon-klynge.
Innledning
Denne artikkelen forklarer hvordan du bytter ut eller fornyer SSL-sertifikatet (Secure Sockets Layer) for grensesnittet for webadministrasjon i Isilon. Følgende fremgangsmåter omfatter alternativer for å fullføre en selvsignert sertifikatutskifting eller fornyelse, eller for å be om SSL-erstatning eller fornyelse fra en sertifiseringsinstans (CA).
Nødvendige verktøy eller ferdigheter
For å fullføre denne oppgaven må du ha URL-adressen for å få tilgang til grensesnittet for Isilon-webadministrasjon. (Eksemplene i denne artikkelen bruker
https://isilon.example.com:8080/
.) Du bør også være komfortabel med å kjøre kommandoer fra kommandolinjen.
Forutsetninger
Referanseinformasjon
Følgende lister inkluderer standardplasseringene for
server.crt
og
server.key
-filer i OneFS 7.0.x og OneFS 8.0.0.
x. I fremgangsmåtene nedenfor må du oppdatere trinnene slik at de samsvarer med denne informasjonen for OneFS-versjonen som er installert.
OneFS 7.0.x og nyere
/usr/local/apache24/conf/ssl.crt/server.crt
/usr/local/apache24/conf/ssl.key/server.key
OneFS 8.0.1.x og nyere
- Hent listen over sertifikater ved å kjøre kommandoen nedenfor:
isi certificate server list
- Lagre en sikkerhetskopi av det opprinnelige sertifikatet og nøkkelen (bare for OneFS 7.0.x til 8.0.0.x).
- Åpne en SSH-tilkobling på en hvilken som helst node i klyngen, og logg inn ved hjelp av «rot»-kontoen.
- Kjør følgende kommandoer for å opprette en sikkerhetskopiplassering og lagre den opprinnelige nøkkelen og sertifikatet:
mkdir -p /ifs/data/Isilon_Support/original_ssl_backup
cp /usr/local/apache24/conf/ssl.crt/server.crt /ifs/data/Isilon_Support/original_ssl_backup
cp /usr/local/apache24/conf/ssl.key/server.key /ifs/data/Isilon_Support/original_ssl_backup
Fremgangsmåte
Opprett en lokal arbeidskatalog.
mkdir /ifs/local
cd /ifs/local
Kontroller om du vil fornye et eksisterende sertifikat, eller hvis du vil opprette et sertifikat fra grunnen av.
- Forny et eksisterende selvsignert sertifikat.
Dette oppretter et fornyelsessertifikat som er basert på den eksisterende beholdningen (lagerbeholdning) ssl.key
. Kjør følgende kommando for å opprette et toårig sertifikat. Øke eller redusere verdien for -dager for å generere et sertifikat med en annen utløpsdato:
cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
Svar på systeminstruksjonene for å fullføre prosessen for å generere et selvsignert SSL-sertifikat, og angi riktig informasjon for organisasjonen.
For eksempel:
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
Når du er ferdig med å skrive inn informasjonen, vises server.csr
og server.key
Filer vises i /ifs/local directory
.
- (Valgfritt) Kontroller integriteten og attributtene til sertifikatet:
openssl x509 -text -noout -in server.crt
Gå til Legg til sertifikatet i klyngedelen i denne artikkelen etter dette trinnet.
- Opprett et sertifikat og en nøkkel.
Denne fremgangsmåten viser hvordan du oppretter en ny privat nøkkel og SSL-sertifikat. Kjør følgende kommando for å opprette en RSA 2048-bit
Privat nøkkel:
openssl genrsa -out server.key 2048
Opprett en forespørsel om sertifikatsignering:
openssl req -new -nodes -key server.key -out server.csr
Angi riktig informasjon for organisasjonen.
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
- (Valgfritt) Generer en CSR for en sertifiseringsinstans som inkluderer emne-alternative navn. Hvis ytterligere DNS er nødvendig, kan den legges til ved hjelp av et komma (,) For eksempel: DNS:example.com,DNS:www.example.com)
openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
Når du blir bedt om det, skriver du inn informasjonen som skal innlemmes i sertifikatforespørselen. Når du er ferdig med å skrive inn informasjonen, vises server.csr
og server.key
Filer vises i /ifs/local directory
.
Bekreft om du vil signere sertifikatet selv eller få det signert av en sertifiseringsinstans (CA).
- Signer SSL-sertifikatet selv.
Hvis du vil selvsignere sertifikatet med nøkkelen, kjører du kommandoen nedenfor som oppretter et nytt selvsignert sertifikat som er gyldig i 2 år:
openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
Kontroller at nøkkelen samsvarer med sertifikatet, begge kommandoene skal returnere samme md5-verdi:
openssl x509 -noout -modulus -in server.crt | openssl md5
openssl rsa -noout -modulus -in server.key | openssl md5
Gå til Legg til sertifikatet i klyngedelen i denne artikkelen etter dette trinnet.
- Få en sertifiseringsinstans til å signere sertifikatet.
Hvis en sertifiseringsinstans signerer sertifikatet, må du kontrollere at det nye SSL-sertifikatet er i x509-format og inkluderer hele sertifikatklareringskjeden.
Det er vanlig at CA returnerer det nye SSL-sertifikatet, det mellomliggende sertifikatet og rotsertifikatet i separate filer.
Hvis sertifiseringsinstansen har gjort dette, MÅ du opprette det PEM-formaterte sertifikatet manuelt.
Rekkefølge er viktig når du oppretter det PEM-formaterte sertifikatet. Sertifikatet må være øverst i filen, etterfulgt av de mellomliggende sertifikatene, og rotsertifikatet må være nederst.
Her er et eksempel på hvordan den PEM-formaterte filen ser ut:
-----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
En enkel måte å opprette den PEM-formaterte filen på fra CLI er å kategorisere filene (husk at rekkefølgen på filene betyr noe):
cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
Kopier onefs_pem_formatted.crt
fil til /ifs/local directory
og endre navn på den til server.crt
.
Merk: Hvis du mottar en .cer fil, endrer du den navn til filtypen CRT.
- (Valgfritt) Kontroller integriteten og attributtene til sertifikatet:
openssl x509 -text -noout -in server.crt
Legg til sertifikatet i klyngen:
For OneFS 7.0.x til 8.0.1.x:
- Installer det nye sertifikatet og nøkkelen på hver node:
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable
- Hvis det finnes et utdatert eller ubrukt sertifikat, sletter du det når oppgraderingen til 8.0 er fullført. Følg instruksjonene i trinn 5 under OneFS 8.0.1.x og nyere.
For OneFS 8.0.1.x og nyere:
- Importer det nye sertifikatet og nøkkelen inn i systemet:
isi certificate server import /ifs/local/server.crt /ifs/local/server.key
- Kontroller at sertifikatet er importert:
isi certificate server list -v
- Angi det importerte sertifikatet som standard:
- For OneFS 8.0 og 8.1 er kommandoen:
isi certificate server modify --id=<id_of_cert_to_set_as_default> --default
- For OneFS 8.2 og nyere er kommandoen:
isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
- Bruk kommandoen nedenfor for å bekrefte at det importerte sertifikatet brukes som standard ved å bekrefte statusen "Standard HTTPS-sertifikat":
isi certificate settings view
- Hvis det er et ubrukt eller utdatert sertifikat, slett dette med kommandoen:
isi certificate server delete --id=<id_of_cert_to_delete>
- Vis det nye importerte sertifikatet med kommandoen:
isi certificate server view --id=<id_of_cert>
Merk: Port 8081 og 8083 bruker fortsatt sertifikatet fra den lokale katalogen for SSL. Følg trinnene nedenfor hvis du vil bruke de nye sertifikatene for port 8081 og 8083.
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable
Verifisering
Det finnes to metoder for å verifisere det oppdaterte SSL-sertifikatet.
- Bla til
https://<common name>:8080
, der <vanlig navn> er vertsnavnet som brukes til å få tilgang til Isilon-grensesnittet for webadministrasjon. For eksempel, isilon.example.com
- Vis sikkerhetsdetaljene for nettsiden. Fremgangsmåten for å gjøre dette varierer fra nettleser til nettleser. I noen nettlesere klikker du hengelåsikonet på adresselinjen for å vise sikkerhetsdetaljene for nettsiden.
- I sikkerhetsdetaljene for nettsiden må du kontrollere at emnelinjen og andre detaljer er riktige. En utdata som ligner på følgende, vises der <delstaten>, <byen> din og <firmaet> er staten, byen og navnet på organisasjonen:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
- Åpne en SSH-tilkobling på en hvilken som helst node i klyngen, og logg inn ved hjelp av «rot»-kontoen.
- Kjør følgende kommando:
echo QUIT | openssl s_client -connect localhost:8080
- En utdata som ligner på følgende, vises, der <delstaten>, <byen> din og <firmaet> er staten, byen og navnet på organisasjonen:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com