Erstellen eines CA-signierten Zertifikats
Änderungen vorschlagen
PDFs
Der SnapDrive für UNIX Daemon Service erfordert, dass Sie ein von einer Zertifizierungsstelle signiertes Zertifikat für die erfolgreiche Daemon Kommunikation erstellen. Sie müssen das CA-signierte Zertifikat an dem Pfad angeben, der im angegeben ist snapdrive.conf Datei:
-
Sie müssen als Root-Benutzer angemeldet sein.
-
Sie müssen die folgenden Parameter in festgelegt haben
snapdrive.confDatei zur Verwendung von HTTPS für die Kommunikation:-
Use-https-to-sdu-daemon=on
-
Contact-https-Port-sdu-Daemon=4095
-
sdu-Daemon-Certificate-Path=
/opt/NetApp/snapdrive/snapdrive.pem
-
-
Generieren eines neuen unverschlüsselten RSA-privaten Schlüssels im Pem-Format:
$ openssl genrsa -out privkey.pem 1024Generating RSA private key, 1024 bit long modulus ....................++++++ ....................................++++++ e is 65537 (0x10001)
-
Konfigurieren
/etc/ssl/openssl.cnfSo erstellen Sie den privaten CA-Schlüssel und das Zertifikat vi/etc/ssl/openssl.cnf. -
Erstellen Sie ein nicht signiertes Zertifikat mit Ihrem RSA-privaten Schlüssel:
$ openssl req -new -x509 -key privkey.pem -out cert.pemYou are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:NY State or Province Name (full name) []:Nebraska Locality Name (eg, city) [Default City]:Omaha Organization Name (eg, company) [Default Company Ltd]:abc.com Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []:localhost Email Address []:abc@example.org
-
Verwenden Sie Ihren privaten Schlüssel und Ihr Zertifikat, um einen CSR zu erstellen:
cat cert.pem privkey.pem | openssl x509 -x509toreq -signkey privkey.pem -out certreq.csrGetting request Private Key Generating certificate request
-
Unterschreiben Sie das Zertifikat mit dem privaten CA-Schlüssel, indem Sie die CSR verwenden, die Sie gerade erstellt haben:
$ openssl ca -in certreq.csr -out newcert.pemUsing configuration from /etc/pki/tls/openssl.cnf Check that the request matches the signature Signature ok Certificate Details: Serial Number: 4096 (0x1000) Validity Not Before: May 17 06:02:51 2015 GMT Not After : May 16 06:02:51 2016 GMT Subject: countryName = NY stateOrProvinceName = Nebraska organizationName = abc.com commonName = localhost emailAddress = abc@example.org X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: FB:B0:F6:A0:9B:F2:C2:BC:50:BF:45:B2:9D:DB:AA:3B:C5:07:5B:7F X509v3 Authority Key Identifier: keyid:FB:B0:F6:A0:9B:F2:C2:BC:50:BF:45:B2:9D:DB:AA:3B:C5:07:5B:7F Certificate is to be certified until May 16 06:02:51 2016 GMT (365 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated -
Installieren Sie das signierte Zertifikat und den privaten Schlüssel, der von einem SSL-Server verwendet werden soll.
The newcert.pem is the certificate signed by your local CA that you can then use in an ssl server: ( openssl x509 -in newcert.pem; cat privkey.pem ) > server.pem ln -s server.pem `openssl x509 -hash -noout -in server.pem`.0 # dot-zero ( server.pem refers to location of https server certificate)