Hinweis: Die Befehle in diesem Artikel sind AUSSCHLIESSLICH für die Verwendung mit einem Isilon-Cluster vorgesehen. Es ist nicht für die Verwendung mit einem externen Linux-Server vorgesehen.
Hinweis: Isilon erneuert das Zertifikat nicht automatisch. Sie muss manuell erneuert werden, indem Sie die Schritte in diesem Artikel in einem Isilon-Cluster befolgen.
Einführung
In diesem Artikel wird erläutert, wie Sie das SSL-Zertifikat (Secure Sockets Layer) für die Isilon-Webverwaltungsoberfläche ersetzen oder erneuern. Die folgenden Verfahren umfassen Optionen für das Ersetzen oder Erneuern eines selbstsignierten Zertifikats und für das Anfordern eines SSL-Zertifikatersatzes oder einer -erneuerung von einer Zertifizierungsstelle (CA).
Erforderliche Tools oder Fähigkeiten
Zum Ausführen dieser Aufgabe benötigen Sie die URL für den Zugriff auf die Webverwaltungsschnittstelle von Isilon. (In den Beispielen in diesem Artikel wird
https://isilon.example.com:8080/
.) Sie sollten auch mit dem Ausführen von Befehlen über die Befehlszeile vertraut sein.
Voraussetzungen
Referenzinformationen
Die folgenden Listen enthalten die Standardspeicherorte für die
server.crt
und
server.key
Dateien in OneFS 7.0.x und OneFS 8.0.0.
x. Aktualisieren Sie in den folgenden Verfahren die Schritte so, dass diese Informationen für die installierte Version von OneFS übereinstimmen.
OneFS 7.0.x und höher
/usr/local/apache24/conf/ssl.crt/server.crt
/usr/local/apache24/conf/ssl.key/server.key
OneFS 8.0.1.x und höher
- Rufen Sie die Liste der Zertifikate mit dem folgenden Befehl ab:
isi certificate server list
- Speichern Sie ein Backup des ursprünglichen Zertifikats und Schlüssels (nur für OneFS 7.0.x bis 8.0.0.x).
- Öffnen Sie eine SSH-Verbindung auf einem beliebigen Node im Cluster und melden Sie sich mit dem „root“-Konto an.
- Führen Sie die folgenden Befehle aus, um einen Backupspeicherort zu erstellen und den ursprünglichen Schlüssel und das Zertifikat zu speichern:
mkdir -p /ifs/data/Isilon_Support/original_ssl_backup
cp /usr/local/apache24/conf/ssl.crt/server.crt /ifs/data/Isilon_Support/original_ssl_backup
cp /usr/local/apache24/conf/ssl.key/server.key /ifs/data/Isilon_Support/original_ssl_backup
Verfahren
Erstellen Sie ein lokales Arbeitsverzeichnis.
mkdir /ifs/local
cd /ifs/local
Überprüfen Sie, ob Sie ein vorhandenes Zertifikat erneuern oder ein Zertifikat von Grund auf neu erstellen möchten.
- Erneuern eines vorhandenen selbstsignierten Zertifikats
Dadurch wird ein Erneuerungszertifikat erstellt, das auf dem vorhandenen (Bestand) basiert ssl.key
übergeben. Führen Sie den folgenden Befehl aus, um ein 2-Jahres-Zertifikat zu erstellen: Erhöhen oder verringern Sie den Wert für „-days“, um ein Zertifikat mit einem anderen Ablaufdatum zu erzeugen:
cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
Befolgen Sie die Systemaufforderungen, um den Vorgang für die Erzeugung eines selbstsignierten SSL-Zertifikats abzuschließen, und geben Sie die entsprechenden Informationen zu Ihrem Unternehmen ein.
Zum Beispiel:
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
Wenn Sie mit der Eingabe der Informationen fertig sind, wird das Symbol server.csr
und server.key
Dateien werden im Verzeichnis /ifs/local directory
übergeben.
- (Optional) Überprüfen Sie die Integrität und Attribute des Zertifikats:
openssl x509 -text -noout -in server.crt
Navigieren Sie nach diesem Schritt zum Abschnitt Hinzufügen des Zertifikats zum Cluster in diesem Artikel.
- Erzeugen eines Zertifikats und Schlüssels
In diesem Verfahren wird gezeigt, wie Sie einen neuen privaten Schlüssel und ein neues SSL-Zertifikat erstellen. Führen Sie den folgenden Befehl aus, um eine RSA 2048-bit
privater Schlüssel:
openssl genrsa -out server.key 2048
Erstellen Sie eine Zertifikatsignieranforderung:
openssl req -new -nodes -key server.key -out server.csr
Geben Sie die entsprechenden Informationen für Ihr Unternehmen ein.
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
- (Optional) Erzeugen Sie eine Signieranforderung für eine Zertifizierungsstelle, die „Subject-Alternative-Names“ enthält. Wenn zusätzliches DNS erforderlich ist, kann es durch ein Komma (,) hinzugefügt werden. Beispiel: DNS:example.com,DNS:www.example.com).
openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
Wenn Sie dazu aufgefordert werden, geben Sie die Informationen ein, die in die Zertifikatanforderung aufgenommen werden sollen. Wenn Sie mit der Eingabe der Informationen fertig sind, wird das Symbol server.csr
und server.key
Dateien werden im Verzeichnis /ifs/local directory
übergeben.
Überprüfen Sie, ob Sie das Zertifikat selbst signieren oder von einer Zertifizierungsstelle (CA) signieren lassen möchten.
- Selbstsignierung des SSL-Zertifikats
Um das Zertifikat mit dem Schlüssel selbst zu signieren, führen Sie den folgenden Befehl aus, mit dem ein neues selbstsigniertes Zertifikat erzeugt wird, das 2 Jahre gültig ist:
openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
Stellen Sie sicher, dass der Schlüssel mit dem Zertifikat übereinstimmt. Beide Befehle sollten denselben md5-Wert zurückgeben:
openssl x509 -noout -modulus -in server.crt | openssl md5
openssl rsa -noout -modulus -in server.key | openssl md5
Navigieren Sie nach diesem Schritt zum Abschnitt Hinzufügen des Zertifikats zum Cluster in diesem Artikel.
- Signierung des Zertifikats durch eine Zertifizierungsstelle
Wenn das Zertifikat von einer Zertifizierungsstelle signiert wird, stellen Sie sicher, dass das neue SSL-Zertifikat im x509-Format vorliegt und die gesamte Vertrauenskette des Zertifikats enthält.
Es ist üblich, dass CAs das neue SSL-Zertifikat, das Zwischenzertifikat und das Stammzertifikat in separaten Dateien zurückgeben.
Wenn die Zertifizierungsstelle dies getan hat, MÜSSEN Sie das PEM-formatierte Zertifikat manuell erstellen.
Bei der Erstellung des PEM-formatierten Zertifikats kommt es auf die Reihenfolge an. Ihr Zertifikat muss sich oben in der Datei befinden, gefolgt von den Zwischenzertifikaten und das Stammzertifikat muss sich unten befinden.
Hier ist ein Beispiel dafür, wie die PEM-formatierte Datei aussieht:
-----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
Eine einfache Möglichkeit, die PEM-formatierte Datei über die CLI zu erstellen, besteht darin, die Dateien zu katen (denken Sie daran, dass die Reihenfolge der Dateien wichtig ist):
cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
Kopieren Sie die Datei onefs_pem_formatted.crt
Datei nach /ifs/local directory
und benennen Sie es um in server.crt
übergeben.
Hinweis: Wenn eine .cer Datei empfangen wird, benennen Sie sie in die Erweiterung .crt um.
- (Optional) Überprüfen Sie die Integrität und Attribute des Zertifikats:
openssl x509 -text -noout -in server.crt
Fügen Sie das Zertifikat zum Cluster hinzu:
Für OneFS 7.0.x bis 8.0.1.x:
- Installieren Sie das neue Zertifikat und den neuen Schlüssel auf jedem Node:
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable
- Wenn ein veraltetes oder nicht verwendetes Zertifikat vorhanden ist, löschen Sie es, sobald das Upgrade auf 8.0 abgeschlossen ist. Befolgen Sie die Anweisungen in Schritt 5 unter OneFS 8.0.1.x und höher.
Für OneFS 8.0.1.x und höher:
- Importieren Sie das neue Zertifikat und den neuen Schlüssel in das System:
isi certificate server import /ifs/local/server.crt /ifs/local/server.key
- Überprüfen Sie, ob das Zertifikat erfolgreich importiert wurde:
isi certificate server list -v
- Legen Sie das importierte Zertifikat als Standard fest:
- Für OneFS 8.0 und 8.1 lautet der Befehl:
isi certificate server modify --id=<id_of_cert_to_set_as_default> --default
- Für OneFS 8.2 und höher lautet der Befehl:
isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
- Verwenden Sie den folgenden Befehl, um zu bestätigen, dass das importierte Zertifikat als Standard verwendet wird, indem Sie den Status von „Default HTTPS Certificate“ überprüfen:
isi certificate settings view
- Wenn ein nicht verwendetes oder veraltetes Zertifikat vorhanden ist, löschen Sie es mit dem Befehl:
isi certificate server delete --id=<id_of_cert_to_delete>
- Zeigen Sie das neue importierte Zertifikat mit dem folgenden Befehl an:
isi certificate server view --id=<id_of_cert>
Hinweis: Die Ports 8081 und 8083 verwenden für SSL weiterhin das Zertifikat aus dem lokalen Verzeichnis. Führen Sie die folgenden Schritte aus, wenn Sie die neuen Zertifikate für Port 8081 und 8083 verwenden möchten.
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable
Überprüfung:
Es gibt zwei Methoden zur Überprüfung des aktualisierten SSL-Zertifikats.
- Navigieren Sie zu
https://<common name>:8080
, wobei <"Common Name"> der Hostname ist, der für den Zugriff auf die Isilon-Webverwaltungsschnittstelle verwendet wird. Zum Beispiel: isilon.example.com
- Überprüfen Sie die Sicherheitsdetails für die Webseite. Die Schritte dazu variieren je nach Browser. Bei manchen Browsern klicken Sie hierfür auf das Vorhängeschloss in der Adressleiste.
- Überprüfen Sie in den Sicherheitsdetails für die Webseite, ob die Betreffzeile und andere Details korrekt sind. Es wird eine Ausgabe ähnlich der folgenden angezeigt, wobei <Ihr Staat>, <Ihre Stadt> und Ihr Unternehmen> das Bundesland, die Stadt und <der Name Ihrer Organisation sind:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
- Öffnen Sie eine SSH-Verbindung auf einem beliebigen Node im Cluster und melden Sie sich mit dem „root“-Konto an.
- Führen Sie den folgenden Befehl aus:
echo QUIT | openssl s_client -connect localhost:8080
- Es wird eine Ausgabe ähnlich der folgenden angezeigt, wobei <Ihr Staat>, <Ihre Stadt> und Ihr Unternehmen> das Bundesland, die Stadt und <der Name Ihrer Organisation sind:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com