Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Isilon: PowerScale: OneFS: Slik erstatter eller fornyer du SSL-sertifikatet som brukes for grensesnittet for Isilon-webadministrasjon

Summary: Trinn for å fornye eller erstatte SSL-sertifikatet for OneFS-grensesnittet for webadministrasjon.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Merk: Kommandoene i denne artikkelen er BARE ment for bruk med en Isilon-klynge. Den er ikke beregnet for bruk med en ekstern Linux-server.
 
Merk: Isilon fornyer ikke sertifikatet automatisk. Den må fornyes manuelt ved å følge trinnene i denne artikkelen i en Isilon-klynge.


Innledning

Denne artikkelen forklarer hvordan du bytter ut eller fornyer SSL-sertifikatet (Secure Sockets Layer) for grensesnittet for webadministrasjon i Isilon. Følgende fremgangsmåter omfatter alternativer for å fullføre en selvsignert sertifikatutskifting eller fornyelse, eller for å be om SSL-erstatning eller fornyelse fra en sertifiseringsinstans (CA).


Nødvendige verktøy eller ferdigheter

For å fullføre denne oppgaven må du ha URL-adressen for å få tilgang til grensesnittet for Isilon-webadministrasjon. (Eksemplene i denne artikkelen bruker https://isilon.example.com:8080/.) Du bør også være komfortabel med å kjøre kommandoer fra kommandolinjen.


Forutsetninger

Referanseinformasjon
Følgende lister inkluderer standardplasseringene for server.crt og server.key -filer i OneFS 7.0.x og OneFS 8.0.0. x. I fremgangsmåtene nedenfor må du oppdatere trinnene slik at de samsvarer med denne informasjonen for OneFS-versjonen som er installert.

OneFS 7.0.x og nyere
  • SSL-sertifikat:
/usr/local/apache24/conf/ssl.crt/server.crt
  • SSL-sertifikatnøkkel:
/usr/local/apache24/conf/ssl.key/server.key
OneFS 8.0.1.x og nyere
  1. Hent listen over sertifikater ved å kjøre kommandoen nedenfor:
isi certificate server list
  1. Lagre en sikkerhetskopi av det opprinnelige sertifikatet og nøkkelen (bare for OneFS 7.0.x til 8.0.0.x).
    1. Åpne en SSH-tilkobling på en hvilken som helst node i klyngen, og logg inn ved hjelp av «rot»-kontoen.
    2. Kjør følgende kommandoer for å opprette en sikkerhetskopiplassering og lagre den opprinnelige nøkkelen og sertifikatet:
mkdir -p /ifs/data/Isilon_Support/original_ssl_backup 
cp /usr/local/apache24/conf/ssl.crt/server.crt /ifs/data/Isilon_Support/original_ssl_backup 
cp /usr/local/apache24/conf/ssl.key/server.key /ifs/data/Isilon_Support/original_ssl_backup 


Fremgangsmåte

Opprett en lokal arbeidskatalog. 
mkdir /ifs/local
cd /ifs/local
Kontroller om du vil fornye et eksisterende sertifikat, eller hvis du vil opprette et sertifikat fra grunnen av.
  • Forny et eksisterende selvsignert sertifikat.
Dette oppretter et fornyelsessertifikat som er basert på den eksisterende beholdningen (lagerbeholdning) ssl.key. Kjør følgende kommando for å opprette et toårig sertifikat. Øke eller redusere verdien for -dager for å generere et sertifikat med en annen utløpsdato: 
cp /usr/local/apache2/conf/ssl.key/server.key ./ ; openssl req -new -days 730 -nodes -x509 -key server.key -out server.crt
Svar på systeminstruksjonene for å fullføre prosessen for å generere et selvsignert SSL-sertifikat, og angi riktig informasjon for organisasjonen.

For eksempel: 
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:Washington
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Isilon
Organizational Unit Name (eg, section) []:Support
Common Name (e.g. server FQDN or YOUR name) []:isilon.example.com
Email Address []:support@example.com
Når du er ferdig med å skrive inn informasjonen, vises server.csr og server.key Filer vises i /ifs/local directory.
  • (Valgfritt) Kontroller integriteten og attributtene til sertifikatet:
openssl x509 -text -noout -in server.crt
Gå til Legg til sertifikatet i klyngedelen i denne artikkelen etter dette trinnet.
  • Opprett et sertifikat og en nøkkel.
Denne fremgangsmåten viser hvordan du oppretter en ny privat nøkkel og SSL-sertifikat. Kjør følgende kommando for å opprette en RSA 2048-bit Privat nøkkel: 
openssl genrsa -out server.key 2048
Opprett en forespørsel om sertifikatsignering: 
openssl req -new -nodes -key server.key -out server.csr
Angi riktig informasjon for organisasjonen. 
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
  • (Valgfritt) Generer en CSR for en sertifiseringsinstans som inkluderer emne-alternative navn. Hvis ytterligere DNS er nødvendig, kan den legges til ved hjelp av et komma (,) For eksempel: DNS:example.com,DNS:www.example.com)
openssl req -new -nodes -key server.key -out server.csr -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com"))
Når du blir bedt om det, skriver du inn informasjonen som skal innlemmes i sertifikatforespørselen. Når du er ferdig med å skrive inn informasjonen, vises server.csr og server.key Filer vises i /ifs/local directory.

Bekreft om du vil signere sertifikatet selv eller få det signert av en sertifiseringsinstans (CA).
  • Signer SSL-sertifikatet selv.
Hvis du vil selvsignere sertifikatet med nøkkelen, kjører du kommandoen nedenfor som oppretter et nytt selvsignert sertifikat som er gyldig i 2 år: 
openssl x509 -req -days 730 -in server.csr -signkey server.key -out server.crt
Kontroller at nøkkelen samsvarer med sertifikatet, begge kommandoene skal returnere samme md5-verdi: 
openssl x509 -noout -modulus -in server.crt | openssl md5           
openssl rsa -noout -modulus -in server.key | openssl md5
Gå til Legg til sertifikatet i klyngedelen i denne artikkelen etter dette trinnet.
  • Få en sertifiseringsinstans til å signere sertifikatet.
Hvis en sertifiseringsinstans signerer sertifikatet, må du kontrollere at det nye SSL-sertifikatet er i x509-format og inkluderer hele sertifikatklareringskjeden.

Det er vanlig at CA returnerer det nye SSL-sertifikatet, det mellomliggende sertifikatet og rotsertifikatet i separate filer.

Hvis sertifiseringsinstansen har gjort dette, du opprette det PEM-formaterte sertifikatet manuelt.

Rekkefølge er viktig når du oppretter det PEM-formaterte sertifikatet. Sertifikatet må være øverst i filen, etterfulgt av de mellomliggende sertifikatene, og rotsertifikatet må være nederst.

Her er et eksempel på hvordan den PEM-formaterte filen ser ut: 
-----BEGIN CERTIFICATE-----
<The contents of your new TLS certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the intermediate certificate>
<Repeat as necessary for every intermediate certificate provided by your CA>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<The contents of the root certificate file>
-----END CERTIFICATE-----
En enkel måte å opprette den PEM-formaterte filen på fra CLI er å kategorisere filene (husk at rekkefølgen på filene betyr noe): 
cat CA_signed.crt intermediate.crt root.crt > onefs_pem_formatted.crt
Kopier onefs_pem_formatted.crt fil til /ifs/local directory og endre navn på den til server.crt.
 
Merk: Hvis du mottar en .cer fil, endrer du den navn til filtypen CRT.
 
  • (Valgfritt) Kontroller integriteten og attributtene til sertifikatet:
openssl x509 -text -noout -in server.crt


Legg til sertifikatet i klyngen:

For OneFS 7.0.x til 8.0.1.x:
  1. Installer det nye sertifikatet og nøkkelen på hver node:
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable
  1. Hvis det finnes et utdatert eller ubrukt sertifikat, sletter du det når oppgraderingen til 8.0 er fullført. Følg instruksjonene i trinn 5 under OneFS 8.0.1.x og nyere.

For OneFS 8.0.1.x og nyere:
  1. Importer det nye sertifikatet og nøkkelen inn i systemet:
isi certificate server import /ifs/local/server.crt /ifs/local/server.key
  1. Kontroller at sertifikatet er importert:
isi certificate server list -v
  1. Angi det importerte sertifikatet som standard:
  • For OneFS 8.0 og 8.1 er kommandoen:
isi certificate server modify --id=<id_of_cert_to_set_as_default> --default
  • For OneFS 8.2 og nyere er kommandoen:
isi certificate settings modify --default-https-certificate=<id_of_cert_to_set_as_default>
  1. Bruk kommandoen nedenfor for å bekrefte at det importerte sertifikatet brukes som standard ved å bekrefte statusen "Standard HTTPS-sertifikat":
isi certificate settings view
  1. Hvis det er et ubrukt eller utdatert sertifikat, slett dette med kommandoen:
isi certificate server delete --id=<id_of_cert_to_delete>
  1. Vis det nye importerte sertifikatet med kommandoen:
isi certificate server view --id=<id_of_cert>
 
Merk: Port 8081 og 8083 bruker fortsatt sertifikatet fra den lokale katalogen for SSL. Følg trinnene nedenfor hvis du vil bruke de nye sertifikatene for port 8081 og 8083.
  
isi services -a isi_webui disable
chmod 640 server.key
chmod 640 server.crt
isi_for_array -s 'cp /ifs/local/server.key /usr/local/apache2/conf/ssl.key/server.key'
isi_for_array -s 'cp /ifs/local/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
isi services -a isi_webui enable


Verifisering

Det finnes to metoder for å verifisere det oppdaterte SSL-sertifikatet.
  • Fra en nettleser:
  1. Bla til https://<common name>:8080, der <vanlig navn> er vertsnavnet som brukes til å få tilgang til Isilon-grensesnittet for webadministrasjon. For eksempel, isilon.example.com
  2. Vis sikkerhetsdetaljene for nettsiden. Fremgangsmåten for å gjøre dette varierer fra nettleser til nettleser. I noen nettlesere klikker du hengelåsikonet på adresselinjen for å vise sikkerhetsdetaljene for nettsiden.
  3. I sikkerhetsdetaljene for nettsiden må du kontrollere at emnelinjen og andre detaljer er riktige. En utdata som ligner på følgende, vises der <delstaten>, <byen> din og <firmaet> er staten, byen og navnet på organisasjonen:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com
  • Fra en kommandolinje:
  1. Åpne en SSH-tilkobling på en hvilken som helst node i klyngen, og logg inn ved hjelp av «rot»-kontoen.
  2. Kjør følgende kommando:
echo QUIT | openssl s_client -connect localhost:8080
  1. En utdata som ligner på følgende, vises, der <delstaten>, <byen> din og <firmaet> er staten, byen og navnet på organisasjonen:
Subject: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=support@example.com

Additional Information

Merk: Hendelsesvarsel utløser også Isilon som vist nedenfor: 
SW_CERTIFICATE_EXPIRING: X.509 certificate default is nearing expiration:

Event: 400170001
Certificate 'default' in '**' store is nearing expiration:

Affected Products

PowerScale OneFS

Products

Isilon
Article Properties
Article Number: 000157711
Article Type: How To
Last Modified: 01 Aug 2024
Version:  15
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.