Not: Bu makaledeki komutlar YALNIZCAIsilon Kümesi ile kullanım içindir. Harici bir Linux sunucusuyla kullanılmak üzere tasarlanmamıştır.
Not: Isilon, sertifikayı otomatik olarak yenilemez. Bir Isilon Kümesinde bu makaledeki adımlar izlenerek manuel olarak yenilenmesi gerekir.
Giriş
Bu makalede, Isilon web yönetim arayüzü için Güvenli Soket Katmanı (SSL) sertifikasının değiştirilmesi ve yenilenmesi açıklanmaktadır. Aşağıdaki prosedürler, kendinden imzalı sertifika değişimi veya yenilemesini tamamlama veya Sertifika Yetkilisinden (CA) SSL değişimi veya yenilemesi talep etme seçeneklerini içerir.
Gerekli araçlar veya beceriler
Bu görevi tamamlamak için Isilon web yönetimi arayüzüne erişim URL'sine sahip olmanız gerekir. (Bu makaledeki örneklerde
https://isilon.example.com:8080/.) Ayrıca, komut satırından rahatça komut çalıştırabilmeniz gerekir.
Ön Koşullar
Referans bilgi
Aşağıdaki listeler, yerel sürücüler için varsayılan konumları içerir.
server.crt ve
server.key dosyaları OneFS 7.0.x ve OneFS 8.0.0'da.
x'tir. Takip eden prosedürlerde, yüklü OneFS sürümü için bu bilgileri eşleştiren adımları güncelleştirin.
OneFS 7.0.x ve üzeri
/usr/local/apache24/conf/ssl.crt/server.crt
- SSL sertifikası anahtarı:
/usr/local/apache24/conf/ssl.key/server.key
OneFS 8.0.1.x ve sonraki sürümler
- Aşağıdaki komutu çalıştırarak sertifika listesini alın:
isi certificate server list
- Orijinal sertifikanın ve anahtarın yedeğini kaydedin (yalnızca OneFS 7.0.x ila 8.0.0.x için).
- Kümedeki herhangi bir düğümde SSH bağlantısı açın ve "kök" hesabını kullanarak oturum açın.
- Bir yedekleme konumu oluşturmak ve orijinal anahtar ile sertifikayı kaydetmek için aşağıdaki komutları çalıştırın:
mkdir -p /ifs/data/Isilon_Support/original_ssl_backup
cp /usr/local/apache24/conf/ssl.crt/server.crt /ifs/data/Isilon_Support/original_ssl_backup
cp /usr/local/apache24/conf/ssl.key/server.key /ifs/data/Isilon_Support/original_ssl_backup
İşlemler
Yerel bir çalışma dizini oluşturun.
mkdir /ifs/local
cd /ifs/local
Mevcut bir sertifikayı yenilemek mi yoksa sıfırdan bir sertifika oluşturmak mı istediğinizi doğrulayın.
- Kendinden imzalı mevcut bir Sertifikayı yenileme.
Bu, mevcut (stok) temel alınarak bir yenileme sertifikası oluşturur ssl.key. İki yıllık bir sertifika oluşturmak için aşağıdaki komutu çalıştırın. Farklı bir son kullanma tarihine sahip bir sertifika oluşturmak için gün değerini artırın veya azaltın:
cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
Kuruluşunuz için uygun bilgileri girerek kendinden imzalı bir SSL sertifikası oluşturma işlemini tamamlamak için sistemin oluşturduğu istemleri yanıtlayın.
Örnek:
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
Bilgileri girmeyi bitirdiğinizde, server.csr ve server.key Dosyalar /ifs/local directory.
- (İsteğe bağlı) Sertifikanın bütünlüğünü ve özniteliklerini doğrulayın:
openssl x509 -text -noout -in server.crt
Bu adımdan sonra bu makalenin Sertifikayı kümeye ekleme bölümüne gidin.
- Sertifika ve anahtar oluşturma.
Bu prosedür, yeni bir özel anahtarın ve SSL sertifikasının nasıl oluşturulacağını gösterir. Oluşturmak için aşağıdaki komutu çalıştırın: RSA 2048-bit Private Key:
openssl genrsa -out server.key 2048
Sertifika imzalama isteği oluşturun:
openssl req -new -nodes -key server.key -out server.csr
Kuruluşunuz için uygun bilgileri girin.
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
- (İsteğe bağlı) Bir Sertifika Yetkilisi için Konu-Alternatif-Adlar öğelerini içeren bir CSR oluşturun. Ek DNS gerekiyorsa virgül (,) kullanılarak eklenebilir Örneğin: DNS:example.com,DNS:www.example.com)
openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
İstendiğinde, sertifika isteğine dahil edilecek bilgileri yazın. Bilgileri girmeyi bitirdiğinizde, server.csr ve server.key Dosyalar /ifs/local directory.
Sertifikayı kendiniz imzalamak mı yoksa bir Sertifika Yetkilisine (CA) imzalatmak mı istediğinizi doğrulayın.
- SSL Sertifikasının Kendiliğinden İmzalanması.
Sertifikanın anahtarla kendiliğinden imzalanması için 2 yıl boyunca geçerli olan kendinden imzalı yeni bir sertifika oluşturan aşağıdaki komutu çalıştırın:
openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
Anahtarın sertifikayla eşleştiğini doğrulayın. Her iki komut da aynı md5 değerini döndürmelidir:
openssl x509 -noout -modulus -in server.crt | openssl md5
openssl rsa -noout -modulus -in server.key | openssl md5
Bu adımdan sonra bu makalenin Sertifikayı kümeye ekleme bölümüne gidin.
- Sertifikayı CA'ya İmzalatma
Sertifikayı bir CA imzalıyorsa yeni SSL sertifikasının x509 biçiminde olduğundan ve sertifika güven zincirinin tamamını içerdiğinden emin olun.
CA'nın yeni SSL sertifikasını, ara sertifikayı ve kök sertifikayı ayrı dosyalarda döndürmesi yaygın bir durumdur.
CA bunu yaptıysa, PEM biçimli sertifikayı manuel olarak oluşturmanız GEREKİR .
PEM biçimli sertifika oluşturulurken sıra önemlidir. Sertifikanız dosyanın en üstünde, ardından ara sertifikaların gelmesi ve kök sertifikanın en altta olması gerekir.
PEM biçimli dosyanın nasıl göründüğüne dair bir örnek aşağıda verilmiştir:
-----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
CLI'dan PEM biçimli dosya oluşturmanın basit bir yolu, dosyaları cat işlemi yapmaktır (dosyaların sırasının önemli olduğunu unutmayın):
cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
Kopyala onefs_pem_formatted.crt dosyasını /ifs/local directory ve olarak yeniden adlandırın server.crt.
Not: Bir .cer dosyası alınırsa, dosyayı .crt uzantısıyla yeniden adlandırın.
- (İsteğe bağlı) Sertifikanın bütünlüğünü ve özniteliklerini doğrulayın:
openssl x509 -text -noout -in server.crt
Sertifikayı kümeye ekleyin:
OneFS 7.0.x ila 8.0.1.x için:
- Her düğüme yeni sertifikayı ve anahtarı yükleyin:
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable
- Güncel olmayan veya kullanılmayan bir sertifika varsa 8.0'a yükseltme tamamlandıktan sonra sertifikayı silin. OneFS 8.0.1.x ve sonraki sürümler altında 5. adımdaki talimatları kullanın.
OneFS 8.0.1.x ve sonraki sürümler için:
- Yeni sertifikayı ve anahtarı sisteme aktarın:
isi certificate server import /ifs/local/server.crt /ifs/local/server.key
- Sertifikanın başarıyla içe aktarıldığını doğrulayın:
isi certificate server list -v
- İçe aktarılan sertifikayı varsayılan olarak ayarlayın:
- OneFS 8.0 ve 8.1 için komut şu şekildedir:
isi certificate server modify --id=<id_of_cert_to_set_as_default> --default
- OneFS 8.2 ve sonraki sürümlerde şu komut kullanılır:
isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
- "Varsayılan HTTPS Sertifikası" durumunu doğrulayarak içe aktarılan sertifikanın varsayılan olarak kullanıldığını doğrulamak için aşağıdaki komutu kullanın:
isi certificate settings view
- Kullanılmayan veya güncelliğini yitirmiş bir sertifika varsa bunu şu komutla silin:
isi certificate server delete --id=<id_of_cert_to_delete>
- İçe aktarılan yeni sertifikayı şu komutla görüntüleyin:
isi certificate server view --id=<id_of_cert>
Not: 8081 ve 8083 bağlantı noktaları, SSL için hala yerel dizinden gelen sertifikayı kullanır. Bağlantı noktası 8081 ve 8083 için yeni sertifikaları kullanmak istiyorsanız aşağıdaki adımları izleyin.
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable
Doğrulama
Güncelleştirilmiş SSL sertifikasını doğrulamanın iki yöntemi vardır.
- Şuraya gidin:
https://<common name>:8080, burada <ortak ad> , Isilon web yönetimi arayüzüne erişmek için kullanılan ana bilgisayar adıdır. Örneğin, isilon.example.com
- Web sayfası güvenlik ayrıntılarını görüntüleyin. Bunu yapmak için gereken adımlar tarayıcıya göre değişiklik gösterir. Bazı tarayıcılarda, web sayfası güvenlik ayrıntılarını görüntülemek için adres çubuğundaki asma kilit simgesine tıklamanız gerekir.
- Web sayfası güvenlik ayrıntılarında konu satırı ve diğer ayrıntıların doğru olduğundan emin olun. Aşağıdakine benzer bir çıktı görüntülenir; burada <yourstate, <yourcity>> ve <your company>, kuruluşunuzun eyaleti, şehri ve adıdır:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
- Kümedeki herhangi bir düğümde SSH bağlantısı açın ve "kök" hesabını kullanarak oturum açın.
- Aşağıdaki komutu çalıştırın:
echo QUIT | openssl s_client -connect localhost:8080
- Aşağıdakine benzer bir çıktı görüntülenir; burada <yourstate, <yourcity>> ve <your company>, kuruluşunuzun eyaleti, şehri ve adıdır:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com