Génération d'un certificat signé par une autorité de certification
Le service démon SnapDrive pour UNIX nécessite la génération d'un certificat signé par une autorité de certification pour une communication réussie avec le démon. Vous devez fournir le certificat signé par l'autorité de certification au chemin spécifié dans snapdrive.conf
fichier.
-
Vous devez être connecté en tant qu'utilisateur racine.
-
Vous devez avoir défini les paramètres suivants dans le
snapdrive.conf
Fichier à utiliser HTTPS pour la communication :-
use-https-to-sdu-daemon=on
-
contact-https-port-sdu-daemon=4095
-
sdu-chemin-certificat-démon=
/opt/NetApp/snapdrive/snapdrive.pem
-
-
Générer une nouvelle clé privée RSA non chiffrée au format pem :
$ openssl genrsa -out privkey.pem 1024
Generating RSA private key, 1024 bit long modulus ....................++++++ ....................................++++++ e is 65537 (0x10001)
-
Configurer
/etc/ssl/openssl.cnf
Pour créer la clé privée de l'autorité de certification et le certificat vi/etc/ssl/openssl.cnf
. -
Créez un certificat non signé à l'aide de votre clé privée RSA :
$ openssl req -new -x509 -key privkey.pem -out cert.pem
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:NY State or Province Name (full name) []:Nebraska Locality Name (eg, city) [Default City]:Omaha Organization Name (eg, company) [Default Company Ltd]:abc.com Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []:localhost Email Address []:abc@example.org
-
Utilisez votre clé privée et votre certificat pour créer une RSC :
cat cert.pem privkey.pem | openssl x509 -x509toreq -signkey privkey.pem -out certreq.csr
Getting request Private Key Generating certificate request
-
Signez le certificat avec la clé privée de l'autorité de certification en utilisant la RSC que vous venez de créer :
$ openssl ca -in certreq.csr -out newcert.pem
Using configuration from /etc/pki/tls/openssl.cnf Check that the request matches the signature Signature ok Certificate Details: Serial Number: 4096 (0x1000) Validity Not Before: May 17 06:02:51 2015 GMT Not After : May 16 06:02:51 2016 GMT Subject: countryName = NY stateOrProvinceName = Nebraska organizationName = abc.com commonName = localhost emailAddress = abc@example.org X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: FB:B0:F6:A0:9B:F2:C2:BC:50:BF:45:B2:9D:DB:AA:3B:C5:07:5B:7F X509v3 Authority Key Identifier: keyid:FB:B0:F6:A0:9B:F2:C2:BC:50:BF:45:B2:9D:DB:AA:3B:C5:07:5B:7F Certificate is to be certified until May 16 06:02:51 2016 GMT (365 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated
-
Installez le certificat signé et la clé privée à utiliser par un serveur SSL.
The newcert.pem is the certificate signed by your local CA that you can then use in an ssl server: ( openssl x509 -in newcert.pem; cat privkey.pem ) > server.pem ln -s server.pem `openssl x509 -hash -noout -in server.pem`.0 # dot-zero ( server.pem refers to location of https server certificate)