Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Isilon: PowerScale: OneFS: Isilon web yönetim arayüzü için kullanılan SSL sertifikasını değiştirme veya yenileme

Summary: OneFS web yönetimi arayüzü için SSL Sertifikasını yenileme veya değiştirme adımları.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Not: Bu makaledeki komutlar YALNIZCAIsilon Kümesi ile kullanım içindir. Harici bir Linux sunucusuyla kullanılmak üzere tasarlanmamıştır.
 
Not: Isilon, sertifikayı otomatik olarak yenilemez. Bir Isilon Kümesinde bu makaledeki adımlar izlenerek manuel olarak yenilenmesi gerekir.


Giriş

Bu makalede, Isilon web yönetim arayüzü için Güvenli Soket Katmanı (SSL) sertifikasının değiştirilmesi ve yenilenmesi açıklanmaktadır. Aşağıdaki prosedürler, kendinden imzalı sertifika değişimi veya yenilemesini tamamlama veya Sertifika Yetkilisinden (CA) SSL değişimi veya yenilemesi talep etme seçeneklerini içerir.


Gerekli araçlar veya beceriler

Bu görevi tamamlamak için Isilon web yönetimi arayüzüne erişim URL'sine sahip olmanız gerekir. (Bu makaledeki örneklerde https://isilon.example.com:8080/.) Ayrıca, komut satırından rahatça komut çalıştırabilmeniz gerekir.


Ön Koşullar

Referans bilgi
Aşağıdaki listeler, yerel sürücüler için varsayılan konumları içerir. server.crt ve server.key dosyaları OneFS 7.0.x ve OneFS 8.0.0'da. x'tir. Takip eden prosedürlerde, yüklü OneFS sürümü için bu bilgileri eşleştiren adımları güncelleştirin.

OneFS 7.0.x ve üzeri
  • SSL sertifikası:
/usr/local/apache24/conf/ssl.crt/server.crt
  • SSL sertifikası anahtarı:
/usr/local/apache24/conf/ssl.key/server.key
OneFS 8.0.1.x ve sonraki sürümler
  1. Aşağıdaki komutu çalıştırarak sertifika listesini alın:
isi certificate server list
  1. Orijinal sertifikanın ve anahtarın yedeğini kaydedin (yalnızca OneFS 7.0.x ila 8.0.0.x için).
    1. Kümedeki herhangi bir düğümde SSH bağlantısı açın ve "kök" hesabını kullanarak oturum açın.
    2. Bir yedekleme konumu oluşturmak ve orijinal anahtar ile sertifikayı kaydetmek için aşağıdaki komutları çalıştırın:
mkdir -p /ifs/data/Isilon_Support/original_ssl_backup 
cp /usr/local/apache24/conf/ssl.crt/server.crt /ifs/data/Isilon_Support/original_ssl_backup 
cp /usr/local/apache24/conf/ssl.key/server.key /ifs/data/Isilon_Support/original_ssl_backup 


İşlemler

Yerel bir çalışma dizini oluşturun.
mkdir /ifs/local
cd /ifs/local
Mevcut bir sertifikayı yenilemek mi yoksa sıfırdan bir sertifika oluşturmak mı istediğinizi doğrulayın.
  • Kendinden imzalı mevcut bir Sertifikayı yenileme.
Bu, mevcut (stok) temel alınarak bir yenileme sertifikası oluşturur ssl.key. İki yıllık bir sertifika oluşturmak için aşağıdaki komutu çalıştırın. Farklı bir son kullanma tarihine sahip bir sertifika oluşturmak için gün değerini artırın veya azaltın:
cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
Kuruluşunuz için uygun bilgileri girerek kendinden imzalı bir SSL sertifikası oluşturma işlemini tamamlamak için sistemin oluşturduğu istemleri yanıtlayın.

Örnek:
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
Bilgileri girmeyi bitirdiğinizde, server.csr ve server.key Dosyalar /ifs/local directory.
  • (İsteğe bağlı) Sertifikanın bütünlüğünü ve özniteliklerini doğrulayın:
openssl x509 -text -noout -in server.crt
Bu adımdan sonra bu makalenin Sertifikayı kümeye ekleme bölümüne gidin.
  • Sertifika ve anahtar oluşturma.
Bu prosedür, yeni bir özel anahtarın ve SSL sertifikasının nasıl oluşturulacağını gösterir. Oluşturmak için aşağıdaki komutu çalıştırın: RSA 2048-bit Private Key:
openssl genrsa -out server.key 2048
Sertifika imzalama isteği oluşturun:
openssl req -new -nodes -key server.key -out server.csr
Kuruluşunuz için uygun bilgileri girin.
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
  • (İsteğe bağlı) Bir Sertifika Yetkilisi için Konu-Alternatif-Adlar öğelerini içeren bir CSR oluşturun. Ek DNS gerekiyorsa virgül (,) kullanılarak eklenebilir Örneğin: DNS:example.com,DNS:www.example.com)
openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
İstendiğinde, sertifika isteğine dahil edilecek bilgileri yazın. Bilgileri girmeyi bitirdiğinizde, server.csr ve server.key Dosyalar /ifs/local directory.

Sertifikayı kendiniz imzalamak mı yoksa bir Sertifika Yetkilisine (CA) imzalatmak mı istediğinizi doğrulayın.
  • SSL Sertifikasının Kendiliğinden İmzalanması.
Sertifikanın anahtarla kendiliğinden imzalanması için 2 yıl boyunca geçerli olan kendinden imzalı yeni bir sertifika oluşturan aşağıdaki komutu çalıştırın:
openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
Anahtarın sertifikayla eşleştiğini doğrulayın. Her iki komut da aynı md5 değerini döndürmelidir:
openssl x509 -noout -modulus -in server.crt | openssl md5           
openssl rsa -noout -modulus -in server.key | openssl md5
Bu adımdan sonra bu makalenin Sertifikayı kümeye ekleme bölümüne gidin.
  • Sertifikayı CA'ya İmzalatma
Sertifikayı bir CA imzalıyorsa yeni SSL sertifikasının x509 biçiminde olduğundan ve sertifika güven zincirinin tamamını içerdiğinden emin olun.

CA'nın yeni SSL sertifikasını, ara sertifikayı ve kök sertifikayı ayrı dosyalarda döndürmesi yaygın bir durumdur.

CA bunu yaptıysa, PEM biçimli sertifikayı manuel olarak oluşturmanız GEREKİR .

PEM biçimli sertifika oluşturulurken sıra önemlidir. Sertifikanız dosyanın en üstünde, ardından ara sertifikaların gelmesi ve kök sertifikanın en altta olması gerekir.

PEM biçimli dosyanın nasıl göründüğüne dair bir örnek aşağıda verilmiştir:
-----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
CLI'dan PEM biçimli dosya oluşturmanın basit bir yolu, dosyaları cat işlemi yapmaktır (dosyaların sırasının önemli olduğunu unutmayın):
cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
Kopyala onefs_pem_formatted.crt dosyasını /ifs/local directory ve olarak yeniden adlandırın server.crt.
 
Not: Bir .cer dosyası alınırsa, dosyayı .crt uzantısıyla yeniden adlandırın.
 
  • (İsteğe bağlı) Sertifikanın bütünlüğünü ve özniteliklerini doğrulayın:
openssl x509 -text -noout -in server.crt


Sertifikayı kümeye ekleyin:

OneFS 7.0.x ila 8.0.1.x için:
  1. Her düğüme yeni sertifikayı ve anahtarı yükleyin:
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable
  1. Güncel olmayan veya kullanılmayan bir sertifika varsa 8.0'a yükseltme tamamlandıktan sonra sertifikayı silin. OneFS 8.0.1.x ve sonraki sürümler altında 5. adımdaki talimatları kullanın.

OneFS 8.0.1.x ve sonraki sürümler için:
  1. Yeni sertifikayı ve anahtarı sisteme aktarın:
isi certificate server import /ifs/local/server.crt /ifs/local/server.key
  1. Sertifikanın başarıyla içe aktarıldığını doğrulayın:
isi certificate server list -v
  1. İçe aktarılan sertifikayı varsayılan olarak ayarlayın:
  • OneFS 8.0 ve 8.1 için komut şu şekildedir:
isi certificate server modify --id=<id_of_cert_to_set_as_default> --default
  • OneFS 8.2 ve sonraki sürümlerde şu komut kullanılır:
isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
  1. "Varsayılan HTTPS Sertifikası" durumunu doğrulayarak içe aktarılan sertifikanın varsayılan olarak kullanıldığını doğrulamak için aşağıdaki komutu kullanın:
isi certificate settings view
  1. Kullanılmayan veya güncelliğini yitirmiş bir sertifika varsa bunu şu komutla silin:
isi certificate server delete --id=<id_of_cert_to_delete>
  1. İçe aktarılan yeni sertifikayı şu komutla görüntüleyin:
isi certificate server view --id=<id_of_cert>
 
Not: 8081 ve 8083 bağlantı noktaları, SSL için hala yerel dizinden gelen sertifikayı kullanır. Bağlantı noktası 8081 ve 8083 için yeni sertifikaları kullanmak istiyorsanız aşağıdaki adımları izleyin.
 
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable


Doğrulama

Güncelleştirilmiş SSL sertifikasını doğrulamanın iki yöntemi vardır.
  • Bir web tarayıcısından:
  1. Şuraya gidin: https://<common name>:8080, burada <ortak ad> , Isilon web yönetimi arayüzüne erişmek için kullanılan ana bilgisayar adıdır. Örneğin, isilon.example.com
  2. Web sayfası güvenlik ayrıntılarını görüntüleyin. Bunu yapmak için gereken adımlar tarayıcıya göre değişiklik gösterir. Bazı tarayıcılarda, web sayfası güvenlik ayrıntılarını görüntülemek için adres çubuğundaki asma kilit simgesine tıklamanız gerekir.
  3. Web sayfası güvenlik ayrıntılarında konu satırı ve diğer ayrıntıların doğru olduğundan emin olun. Aşağıdakine benzer bir çıktı görüntülenir; burada <yourstate, <yourcity>> ve <your company>, kuruluşunuzun eyaleti, şehri ve adıdır:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
  • Komut satırından:
  1. Kümedeki herhangi bir düğümde SSH bağlantısı açın ve "kök" hesabını kullanarak oturum açın.
  2. Aşağıdaki komutu çalıştırın:
echo QUIT | openssl s_client -connect localhost:8080
  1. Aşağıdakine benzer bir çıktı görüntülenir; burada <yourstate, <yourcity>> ve <your company>, kuruluşunuzun eyaleti, şehri ve adıdır:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com

Additional Information

Not: Olay uyarısı, aşağıda görüldüğü gibi Isilon'da da tetiklenir:
SW_CERTIFICATE_EXPIRING: X.509 certificate default is nearing expiration:

Event: 400170001
Certificate 'default' in '**' store is nearing expiration:

Affected Products

PowerScale OneFS

Products

Isilon
Article Properties
Article Number: 000157711
Article Type: How To
Last Modified: 01 Aug 2024
Version:  15
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.