Skip to main content
Active IQ Unified Manager
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Installer un certificat HTTPS généré à l'aide d'outils externes

PDF

Vous pouvez installer des certificats auto-signés ou signés par une autorité de certification et générés à l'aide d'un outil externe comme OpenSSL, BoringSSL, LetsEncrypt.

Vous devez charger la clé privée avec la chaîne de certificats, car ces certificats sont des paires de clés publiques-privées générées en externe. Les algorithmes de paires de clés autorisés sont « RSA » et « EC ». L'option Installer le certificat HTTPS est disponible sur la page Certificats HTTPS sous la section Général. Le fichier que vous téléchargez doit être au format d’entrée suivant.

  1. Clé privée du serveur appartenant à l'hôte Active IQ Unified Manager

  2. Certificat du serveur correspondant à la clé privée

  3. Certificat des CA inversé jusqu'à la racine, qui sont utilisés pour signer le certificat ci-dessus

Format de chargement d'un certificat avec une paire de clés EC

Les courbes autorisées sont « prime256v1 » et « secp384r1 ». Exemple de certificat avec une paire EC générée en externe :

 -----BEGIN EC PRIVATE KEY-----
<EC private key of Server>
-----END EC PRIVATE KEY-----
 -----BEGIN CERTIFICATE-----
 <Server certificate>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Intermediate certificate #1 (if present)>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Intermediate certificate #2 (if present)>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Root signing certificate>
 -----END CERTIFICATE-----

Format de chargement d'un certificat avec une paire de clés RSA

Les tailles de clé autorisées pour la paire de clés RSA appartenant au certificat hôte sont 2048, 3072 et 4096. certificat avec une paire de clés RSA générée en externe :

-----BEGIN RSA PRIVATE KEY-----
 <RSA private key of Server>
 -----END RSA PRIVATE KEY-----
 -----BEGIN CERTIFICATE-----
 <Server certificate>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Intermediate certificate #1 (if present)>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Intermediate certificate #2 (if present)>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Root signing certificate>
 -----END CERTIFICATE-----

Une fois le certificat téléchargé, vous devez redémarrer l'instance Active IQ Unified Manager pour que les modifications prennent effet.

Vérifications lors du téléchargement de certificats générés en externe

Le système effectue des vérifications lors du téléchargement d'un certificat généré à l'aide d'outils externes. Si l’une des vérifications échoue, le certificat est rejeté. Des validations sont également incluses pour les certificats générés à partir du CSR au sein du produit et pour les certificats générés à l'aide d'outils externes.

  • La clé privée dans l’entrée est validée par rapport au certificat hôte dans l’entrée.

  • Le nom commun (CN) dans le certificat de l'hôte est vérifié par rapport au FQDN de l'hôte.

  • Le nom commun (CN) du certificat d'hôte ne doit pas être vide ou vide et ne doit pas être défini sur localhost.

  • La date de début de validité ne doit pas être dans le futur et la date d’expiration de validité du certificat ne doit pas être dans le passé.

  • Si une autorité de certification intermédiaire ou une autorité de certification existe, la date de début de validité du certificat ne doit pas être dans le futur et la date d'expiration de la validité ne doit pas être dans le passé.

Remarque

La clé privée dans l'entrée ne doit pas être cryptée. S'il existe des clés privées cryptées, elles sont rejetées par le système.

Exemple 1

----BEGIN ENCRYPTED PRIVATE KEY-----
<Encrypted private key>
-----END ENCRYPTED PRIVATE KEY-----

Exemple 2

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
<content here>
-----END RSA PRIVATE KEY-----

Exemple 3

-----BEGIN EC PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
<content here>
-----END EC PRIVATE KEY-----

Si l'installation du certificat échoue, consultez l'article de la base de connaissances (KB) :https://kb.netapp.com/mgmt/AIQUM/AIQUM_fails_to_install_externally_generated_certificate["ActiveIQ Unified Manager ne parvient pas à installer un certificat généré en externe"^]