Instalar un certificado HTTPS generado mediante herramientas externas
Sugerir cambios
PDF
Puede instalar certificados autofirmados o firmados por una CA y generados mediante una herramienta externa como OpenSSL, BoringSSL, LetsEncrypt.
Debe cargar la clave privada junto con la cadena de certificados porque estos certificados son pares de claves pública-privada generados externamente. Los algoritmos de pares de claves permitidos son “RSA” y “EC”. La opción Instalar certificado HTTPS está disponible en la página Certificados HTTPS en la sección General. El archivo que cargue debe tener el siguiente formato de entrada.
-
Clave privada del servidor que pertenece al host de Active IQ Unified Manager
-
Certificado del servidor que coincide con la clave privada
-
Certificado de las CA en sentido inverso hasta la raíz, que se utilizan para firmar el certificado anterior
Formato para cargar un certificado con un par de claves EC
Las curvas permitidas son “prime256v1” y “secp384r1”. Ejemplo de certificado con un par EC generado externamente:
-----BEGIN EC PRIVATE KEY----- <EC private key of Server> -----END EC PRIVATE KEY-----
-----BEGIN CERTIFICATE----- <Server certificate> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <Intermediate certificate #1 (if present)> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <Intermediate certificate #2 (if present)> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <Root signing certificate> -----END CERTIFICATE-----
Formato para cargar un certificado con un par de claves RSA
Los tamaños de clave permitidos para el par de claves RSA que pertenece al certificado del host son 2048, 3072 y 4096. certificado con un par de claves RSA generado externamente:
-----BEGIN RSA PRIVATE KEY----- <RSA private key of Server> -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- <Server certificate> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <Intermediate certificate #1 (if present)> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <Intermediate certificate #2 (if present)> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <Root signing certificate> -----END CERTIFICATE-----
Después de cargar el certificado, debe reiniciar la instancia de Active IQ Unified Manager para que los cambios surtan efecto.
Comprobaciones al cargar certificados generados externamente
El sistema realiza comprobaciones mientras se carga un certificado generado mediante herramientas externas. Si alguna de las comprobaciones falla, el certificado se rechaza. También se incluyen validaciones para los certificados que se generan a partir del CSR dentro del producto y para los certificados que se generan utilizando herramientas externas.
-
La clave privada en la entrada se valida con el certificado del host en la entrada.
-
El nombre común (CN) en el certificado del host se compara con el FQDN del host.
-
El nombre común (CN) del certificado de host no debe estar vacío ni en blanco y no debe configurarse como localhost.
-
La fecha de inicio de la validez no debe ser futura y la fecha de vencimiento de la validez del certificado no debe ser pasada.
-
Si existe una CA intermedia o CA, la fecha de inicio de validez del certificado no debe ser futura y la fecha de vencimiento de la validez no debe ser pasada.
|
La clave privada en la entrada no debe estar cifrada. Si hay claves privadas cifradas, el sistema las rechaza. |
Ejemplo 1
----BEGIN ENCRYPTED PRIVATE KEY----- <Encrypted private key> -----END ENCRYPTED PRIVATE KEY-----
Ejemplo 2
-----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED <content here> -----END RSA PRIVATE KEY-----
Ejemplo 3
-----BEGIN EC PRIVATE KEY----- Proc-Type: 4,ENCRYPTED <content here> -----END EC PRIVATE KEY-----
Si falla la instalación del certificado, consulte el artículo de la base de conocimientos (KB):https://kb.netapp.com/mgmt/AIQUM/AIQUM_fails_to_install_externally_generated_certificate["ActiveIQ Unified Manager no puede instalar un certificado generado externamente"^]