Huomautus: Tämän artikkelin komennot on tarkoitettu VAINkäytettäväksi Isilon-klusterin kanssa. Sitä ei ole tarkoitettu käytettäväksi ulkoisen Linux-palvelimen kanssa.
Huomautus: Isilon ei uusi varmennetta automaattisesti. Se on uusittava manuaalisesti tämän artikkelin ohjeiden mukaisesti Isilon-klusterissa.
Johdanto
Tässä artikkelissa kerrotaan, miten Isilon-hallintakäyttöliittymän SSL (Secure Sockets Layer) -varmenne vaihdetaan tai uusitaan. Seuraavissa menettelyissä on erilaisia vaihtoehtoja itse allekirjoitetun varmenteen korvaamisen tai uusimisen suorittamiseksi tai SSL-kelpoisuuden korvaamiseksi tai uusimiseksi varmenteen myöntäjältä (CA).
Tarvittavat työkalut tai taidot
Jotta voit suorittaa tämän tehtävän, sinulla on oltava URL-osoite, jolla pääset Isilonin verkkohallintakäyttöliittymään. (Tämän artikkelin esimerkeissä käytetään
https://isilon.example.com:8080/.) Sinun pitäisi myös olla mukava suorittaa komentoja komentoriviltä.
Edellytykset
Viitetiedot
Seuraavat luettelot sisältävät
server.crt ja
server.key OneFS 7.0.x- ja OneFS 8.0.0 -tiedostot.
x. Päivitä seuraavissa toimenpiteissä vaiheet vastaamaan näitä tietoja asennetun OneFS-version mukaan.
OneFS 7.0.x ja uudemmat
/usr/local/apache24/conf/ssl.crt/server.crt
/usr/local/apache24/conf/ssl.key/server.key
OneFS 8.0.1.x ja uudemmat
- Saat varmenneluettelon suorittamalla seuraavan komennon:
isi certificate server list
- Tallenna alkuperäisen varmenteen ja avaimen varmuuskopio (vain OneFS 7.0.x–8.0.0.x).
- Avaa SSH-yhteys johonkin klusterin solmuun ja kirjaudu sisään root-tilillä.
- Luo varmuuskopiosijainti ja tallenna alkuperäinen avain ja varmenne suorittamalla seuraavat komennot:
mkdir -p /ifs/data/Isilon_Support/original_ssl_backup
cp /usr/local/apache24/conf/ssl.crt/server.crt /ifs/data/Isilon_Support/original_ssl_backup
cp /usr/local/apache24/conf/ssl.key/server.key /ifs/data/Isilon_Support/original_ssl_backup
Toimenpide
Luo paikallinen työhakemisto.
mkdir /ifs/local
cd /ifs/local
Tarkista, haluatko uusia olemassa olevan varmenteen vai haluatko luoda varmenteen alusta alkaen.
- Olemassa olevan itse allekirjoitetun varmenteen uusiminen.
Tämä luo uusimisvarmenteen, joka perustuu olemassa olevaan (varastoon) ssl.key. Luo kahden vuoden varmenne suorittamalla seuraava komento. Lisää tai pienennä -days-arvoa, jos haluat luoda varmenteen, jolla on eri vanhentumispäivämäärä:
cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
Vastaa järjestelmäkehotteisiin ja luo itse allekirjoitettu SSL-varmenne ja anna organisaatiollesi tarvittavat tiedot.
Esimerkiksi:
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
Kun olet syöttänyt tiedot, server.csr ja server.key Tiedostot näkyvät /ifs/local directory.
- (Valinnainen) Tarkista varmenteen eheys ja ominaisuudet:
openssl x509 -text -noout -in server.crt
Siirry tämän vaiheen jälkeen kohtaan Varmenteen lisääminen klusteriin -osa.
Tässä kerrotaan, miten uusi yksityinen avain ja SSL-varmenne luodaan. Luo seuraavalla komennolla RSA 2048-bit yksityinen avain:
openssl genrsa -out server.key 2048
Luo varmenteen allekirjoituspyyntö:
openssl req -new -nodes -key server.key -out server.csr
Anna organisaatiotasi varten tarvittavat tiedot.
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
- (Valinnainen) Luo varmenteen myöntäjälle CSR, joka sisältää Subject-Alternative-Names. Jos tarvitaan lisää DNS:ää, se voidaan lisätä pilkulla (,) Esimerkiksi: DNS:example.com,DNS:www.example.com)
openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
Kirjoita pyydettäessä varmennepyyntöön sisällytettävät tiedot. Kun olet syöttänyt tiedot, server.csr ja server.key Tiedostot näkyvät /ifs/local directory.
Tarkista, haluatko allekirjoittaa varmenteen itse vai pyytää varmenteen myöntäjää (CA) allekirjoittamaan sen.
- Allekirjoita SSL-varmenne itse.
Voit allekirjoittaa varmenteen itse suorittamalla seuraavan komennon, joka luo uuden itse allekirjoitetun varmenteen, joka on voimassa 2 vuotta:
openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
Varmista, että avain vastaa varmennetta. Molempien komentojen pitäisi palauttaa sama md5-arvo:
openssl x509 -noout -modulus -in server.crt | openssl md5
openssl rsa -noout -modulus -in server.key | openssl md5
Siirry tämän vaiheen jälkeen kohtaan Varmenteen lisääminen klusteriin -osa.
- Hanki varmenteiden myöntäjä, jotta voit allekirjoittaa varmenteen.
Jos varmenteiden myöntäjä allekirjoittaa varmenteen, varmista, että uusi SSL-varmenne on x509-muodossa ja sisältää koko varmenteen luottamusketjun.
On tavallista, että CA palauttaa uuden SSL-varmenteen, välivarmenteen ja juurivarmenteen erillisinä tiedostoina.
Jos varmenteiden myöntäjä on tehnyt tämän, sinun TÄYTYY luoda PEM-muotoinen varmenne manuaalisesti.
Tilauksella on merkitystä PEM-muotoista varmennetta luotaessa. Varmenteen on oltava tiedoston yläosassa, sen jälkeen välivarmenteiden ja päävarmenteen alareunassa.
Tässä on esimerkki siitä, miltä PEM-muotoinen tiedosto näyttää:
-----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
Helppo tapa luoda PEM-muotoinen tiedosto komentoriviliittymässä on käsitellä tiedostot (muista, että tiedostojen järjestyksellä on merkitystä):
cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
Kopioi onefs_pem_formatted.crt tiedosto osoitteeseen /ifs/local directory ja nimeä se uudelleen server.crt.
Huomautus: Jos vastaanotat .cer tiedoston, nimeä se uudelleen .crt-tunnisteeksi.
- (Valinnainen) Tarkista varmenteen eheys ja ominaisuudet:
openssl x509 -text -noout -in server.crt
Lisää varmenne klusteriin:
OneFS 7.0.x–8.0.1.x:
- Asenna uusi varmenne ja avain jokaiseen solmuun:
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable
- Jos varmenne on vanhentunut tai käyttämätön, poista se, kun päivitys 8.0-versioon on valmis. Käytä OneFS 8.0.1.x -version ja uudempien vaiheen 5 ohjeita.
OneFS 8.0.1.x ja uudemmat:
- Tuo uusi varmenne ja avain järjestelmään:
isi certificate server import /ifs/local/server.crt /ifs/local/server.key
- Varmista, että varmenteen tuonti onnistui:
isi certificate server list -v
- Aseta tuotu varmenne oletukseksi:
- OneFS 8.0- ja 8.1-versioissa komento on seuraava:
isi certificate server modify --id=<id_of_cert_to_set_as_default> --default
- OneFS 8.2:ssa ja uudemmissa komento on:
isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
- Varmista alla olevalla komennolla, että tuotua varmennetta käytetään oletuksena, tarkistamalla Default HTTPS Certificate -tila:
isi certificate settings view
- Jos varmenne on käyttämätön tai vanhentunut, poista se komennolla
isi certificate server delete --id=<id_of_cert_to_delete>
- Tarkastele uutta tuotua varmennetta komennolla
isi certificate server view --id=<id_of_cert>
Huomautus: Portit 8081 ja 8083 käyttävät edelleen SSL:n paikallisen hakemiston varmennetta. Noudata alla olevia ohjeita, jos haluat käyttää portin 8081 ja 8083 uusia varmenteita.
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable
Vahvistus
Päivitetty SSL-varmenne voidaan tarkistaa kahdella tavalla.
- Siirry kohtaan
https://<common name>:8080, jossa <yleisnimi> on isäntänimi, jolla Isilon-hallintaliittymää käytetään. Esimerkki: isilon.example.com
- Tarkastele verkkosivun suojaustietoja. Tämän tekemisen vaiheet vaihtelevat selaimen mukaan. Napsauta joissakin selaimissa osoiterivin riippulukkokuvaketta nähdäksesi verkkosivun suojaustiedot.
- Varmista verkkosivun suojaustiedoista, että aiherivi ja muut tiedot ovat oikein. Näyttöön tulee seuraavankaltainen tulos, jossa <oma osavaltiosi>, <kaupunkisi> ja <yrityksesi> ovat organisaatiosi osavaltio, kaupunki ja nimi:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
- Avaa SSH-yhteys johonkin klusterin solmuun ja kirjaudu sisään root-tilillä.
- Suorita seuraava komento:
echo QUIT | openssl s_client -connect localhost:8080
- Näyttöön tulee seuraavankaltainen tulos, jossa <oma osavaltio<>, kaupunki> ja <yrityksesi> ovat organisaatiosi osavaltio, kaupunki ja nimi:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com