Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Isilon: PowerScale: OneFS: Slik erstatter eller fornyer du SSL-sertifikatet som brukes for grensesnittet for Isilon-webadministrasjon

Summary: Trinn for å fornye eller erstatte SSL-sertifikatet for OneFS-grensesnittet for webadministrasjon.

This article applies to   This article does not apply to 
Check out resources for

Instructions

Merk: Kommandoene i denne artikkelen er BARE ment for bruk med en Isilon-klynge. Den er ikke beregnet for bruk med en ekstern Linux-server.
 
Merk: Isilon fornyer ikke sertifikatet automatisk. Den må fornyes manuelt ved å følge trinnene i denne artikkelen i en Isilon-klynge.


Innledning

Denne artikkelen forklarer hvordan du bytter ut eller fornyer SSL-sertifikatet (Secure Sockets Layer) for grensesnittet for webadministrasjon i Isilon. Følgende fremgangsmåter omfatter alternativer for å fullføre en selvsignert sertifikatutskifting eller fornyelse, eller for å be om SSL-erstatning eller fornyelse fra en sertifiseringsinstans (CA).


Nødvendige verktøy eller ferdigheter

For å fullføre denne oppgaven må du ha URL-adressen for å få tilgang til grensesnittet for Isilon-webadministrasjon. (Eksemplene i denne artikkelen bruker https://isilon.example.com:8080/.) Du bør også være komfortabel med å kjøre kommandoer fra kommandolinjen.


Forutsetninger

Referanseinformasjon
Følgende lister inkluderer standardplasseringene for server.crt og server.key -filer i OneFS 7.0.x og OneFS 8.0.0. x. I fremgangsmåtene nedenfor må du oppdatere trinnene slik at de samsvarer med denne informasjonen for OneFS-versjonen som er installert.

OneFS 7.0.x og nyere
  • SSL-sertifikat:
/usr/local/apache24/conf/ssl.crt/server.crt
  • SSL-sertifikatnøkkel:
/usr/local/apache24/conf/ssl.key/server.key
OneFS 8.0.1.x og nyere
  1. Hent listen over sertifikater ved å kjøre kommandoen nedenfor:
isi certificate server list
  1. Lagre en sikkerhetskopi av det opprinnelige sertifikatet og nøkkelen (bare for OneFS 7.0.x til 8.0.0.x).
    1. Åpne en SSH-tilkobling på en hvilken som helst node i klyngen, og logg inn ved hjelp av «rot»-kontoen.
    2. Kjør følgende kommandoer for å opprette en sikkerhetskopiplassering og lagre den opprinnelige nøkkelen og sertifikatet:
mkdir -p /ifs/data/Isilon_Support/original_ssl_backup 
cp /usr/local/apache24/conf/ssl.crt/server.crt /ifs/data/Isilon_Support/original_ssl_backup 
cp /usr/local/apache24/conf/ssl.key/server.key /ifs/data/Isilon_Support/original_ssl_backup 


Fremgangsmåte

Opprett en lokal arbeidskatalog. 
mkdir /ifs/local
cd /ifs/local
Kontroller om du vil fornye et eksisterende sertifikat, eller hvis du vil opprette et sertifikat fra grunnen av.
  • Forny et eksisterende selvsignert sertifikat.
Dette oppretter et fornyelsessertifikat som er basert på den eksisterende beholdningen (lagerbeholdning) ssl.key. Kjør følgende kommando for å opprette et toårig sertifikat. Øke eller redusere verdien for -dager for å generere et sertifikat med en annen utløpsdato: 
cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
Svar på systeminstruksjonene for å fullføre prosessen for å generere et selvsignert SSL-sertifikat, og angi riktig informasjon for organisasjonen.

For eksempel: 
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
Når du er ferdig med å skrive inn informasjonen, vises server.csr og server.key Filer vises i /ifs/local directory.
  • (Valgfritt) Kontroller integriteten og attributtene til sertifikatet:
openssl x509 -text -noout -in server.crt
Gå til Legg til sertifikatet i klyngedelen i denne artikkelen etter dette trinnet.
  • Opprett et sertifikat og en nøkkel.
Denne fremgangsmåten viser hvordan du oppretter en ny privat nøkkel og SSL-sertifikat. Kjør følgende kommando for å opprette en RSA 2048-bit Privat nøkkel: 
openssl genrsa -out server.key 2048
Opprett en forespørsel om sertifikatsignering: 
openssl req -new -nodes -key server.key -out server.csr
Angi riktig informasjon for organisasjonen. 
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
  • (Valgfritt) Generer en CSR for en sertifiseringsinstans som inkluderer emne-alternative navn. Hvis ytterligere DNS er nødvendig, kan den legges til ved hjelp av et komma (,) For eksempel: DNS:example.com,DNS:www.example.com)
openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
Når du blir bedt om det, skriver du inn informasjonen som skal innlemmes i sertifikatforespørselen. Når du er ferdig med å skrive inn informasjonen, vises server.csr og server.key Filer vises i /ifs/local directory.

Bekreft om du vil signere sertifikatet selv eller få det signert av en sertifiseringsinstans (CA).
  • Signer SSL-sertifikatet selv.
Hvis du vil selvsignere sertifikatet med nøkkelen, kjører du kommandoen nedenfor som oppretter et nytt selvsignert sertifikat som er gyldig i 2 år: 
openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
Kontroller at nøkkelen samsvarer med sertifikatet, begge kommandoene skal returnere samme md5-verdi: 
openssl x509 -noout -modulus -in server.crt | openssl md5           
openssl rsa -noout -modulus -in server.key | openssl md5
Gå til Legg til sertifikatet i klyngedelen i denne artikkelen etter dette trinnet.
  • Få en sertifiseringsinstans til å signere sertifikatet.
Hvis en sertifiseringsinstans signerer sertifikatet, må du kontrollere at det nye SSL-sertifikatet er i x509-format og inkluderer hele sertifikatklareringskjeden.

Det er vanlig at CA returnerer det nye SSL-sertifikatet, det mellomliggende sertifikatet og rotsertifikatet i separate filer.

Hvis sertifiseringsinstansen har gjort dette, du opprette det PEM-formaterte sertifikatet manuelt.

Rekkefølge er viktig når du oppretter det PEM-formaterte sertifikatet. Sertifikatet må være øverst i filen, etterfulgt av de mellomliggende sertifikatene, og rotsertifikatet må være nederst.

Her er et eksempel på hvordan den PEM-formaterte filen ser ut: 
-----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
En enkel måte å opprette den PEM-formaterte filen på fra CLI er å kategorisere filene (husk at rekkefølgen på filene betyr noe): 
cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
Kopier onefs_pem_formatted.crt fil til /ifs/local directory og endre navn på den til server.crt.
 
Merk: Hvis du mottar en .cer fil, endrer du den navn til filtypen CRT.
 
  • (Valgfritt) Kontroller integriteten og attributtene til sertifikatet:
openssl x509 -text -noout -in server.crt


Legg til sertifikatet i klyngen:

For OneFS 7.0.x til 8.0.1.x:
  1. Installer det nye sertifikatet og nøkkelen på hver node:
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable
  1. Hvis det finnes et utdatert eller ubrukt sertifikat, sletter du det når oppgraderingen til 8.0 er fullført. Følg instruksjonene i trinn 5 under OneFS 8.0.1.x og nyere.

For OneFS 8.0.1.x og nyere:
  1. Importer det nye sertifikatet og nøkkelen inn i systemet:
isi certificate server import /ifs/local/server.crt /ifs/local/server.key
  1. Kontroller at sertifikatet er importert:
isi certificate server list -v
  1. Angi det importerte sertifikatet som standard:
  • For OneFS 8.0 og 8.1 er kommandoen:
isi certificate server modify --id=<id_of_cert_to_set_as_default> --default
  • For OneFS 8.2 og nyere er kommandoen:
isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
  1. Bruk kommandoen nedenfor for å bekrefte at det importerte sertifikatet brukes som standard ved å bekrefte statusen "Standard HTTPS-sertifikat":
isi certificate settings view
  1. Hvis det er et ubrukt eller utdatert sertifikat, slett dette med kommandoen:
isi certificate server delete --id=<id_of_cert_to_delete>
  1. Vis det nye importerte sertifikatet med kommandoen:
isi certificate server view --id=<id_of_cert>
 
Merk: Port 8081 og 8083 bruker fortsatt sertifikatet fra den lokale katalogen for SSL. Følg trinnene nedenfor hvis du vil bruke de nye sertifikatene for port 8081 og 8083.
  
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable


Verifisering

Det finnes to metoder for å verifisere det oppdaterte SSL-sertifikatet.
  • Fra en nettleser:
  1. Bla til https://<common name>:8080, der <vanlig navn> er vertsnavnet som brukes til å få tilgang til Isilon-grensesnittet for webadministrasjon. For eksempel, isilon.example.com
  2. Vis sikkerhetsdetaljene for nettsiden. Fremgangsmåten for å gjøre dette varierer fra nettleser til nettleser. I noen nettlesere klikker du hengelåsikonet på adresselinjen for å vise sikkerhetsdetaljene for nettsiden.
  3. I sikkerhetsdetaljene for nettsiden må du kontrollere at emnelinjen og andre detaljer er riktige. En utdata som ligner på følgende, vises der <delstaten>, <byen> din og <firmaet> er staten, byen og navnet på organisasjonen:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
  • Fra en kommandolinje:
  1. Åpne en SSH-tilkobling på en hvilken som helst node i klyngen, og logg inn ved hjelp av «rot»-kontoen.
  2. Kjør følgende kommando:
echo QUIT | openssl s_client -connect localhost:8080
  1. En utdata som ligner på følgende, vises, der <delstaten>, <byen> din og <firmaet> er staten, byen og navnet på organisasjonen:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com

Additional Information

Merk: Hendelsesvarsel utløser også Isilon som vist nedenfor: 
SW_CERTIFICATE_EXPIRING: X.509 certificate default is nearing expiration:

Event: 400170001
Certificate 'default' in '**' store is nearing expiration:

Affected Products

PowerScale OneFS

Products

Isilon