Instalar um certificado HTTPS gerado usando ferramentas externas
Sugerir alterações
PDFs
Você pode instalar certificados autoassinados ou assinados por CA e gerados usando uma ferramenta externa como OpenSSL, BoringSSL, LetsEncrypt.
Você deve carregar a chave privada junto com a cadeia de certificados porque esses certificados são pares de chaves pública-privada gerados externamente. Os algoritmos de pares de chaves permitidos são “RSA” e “EC”. A opção Instalar certificado HTTPS está disponível na página Certificados HTTPS, na seção Geral. O arquivo que você enviar deve estar no seguinte formato de entrada.
-
Chave privada do servidor que pertence ao host do Active IQ Unified Manager
-
Certificado do servidor que corresponde à chave privada
-
Certificado das CAs em sentido inverso até a raiz, que são usadas para assinar o certificado acima
Formato para carregar um certificado com um par de chaves EC
As curvas permitidas são “prime256v1” e “secp384r1”. Exemplo de certificado com um par EC gerado externamente:
-----BEGIN EC PRIVATE KEY----- <EC private key of Server> -----END EC PRIVATE KEY-----
-----BEGIN CERTIFICATE----- <Server certificate> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <Intermediate certificate #1 (if present)> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <Intermediate certificate #2 (if present)> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <Root signing certificate> -----END CERTIFICATE-----
Formato para carregar um certificado com um par de chaves RSA
Os tamanhos de chave permitidos para o par de chaves RSA pertencente ao certificado de host são 2048, 3072 e 4096. certificado com um par de chaves RSA gerado externamente:
-----BEGIN RSA PRIVATE KEY----- <RSA private key of Server> -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- <Server certificate> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <Intermediate certificate #1 (if present)> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <Intermediate certificate #2 (if present)> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <Root signing certificate> -----END CERTIFICATE-----
Após o upload do certificado, você deve reiniciar a instância do Active IQ Unified Manager para que as alterações entrem em vigor.
Verificações durante o upload de certificados gerados externamente
O sistema realiza verificações ao carregar um certificado gerado usando ferramentas externas. Se alguma das verificações falhar, o certificado será rejeitado. Também há validação incluída para os certificados gerados a partir do CSR dentro do produto e para certificados gerados usando ferramentas externas.
-
A chave privada na entrada é validada em relação ao certificado do host na entrada.
-
O Nome Comum (CN) no certificado do host é verificado em relação ao FQDN do host.
-
O Nome Comum (CN) do certificado do host não deve estar vazio ou em branco e não deve ser definido como localhost.
-
A data de início da validade não deve ser no futuro e a data de expiração da validade do certificado não deve ser no passado.
-
Se existir uma CA intermediária ou CA, a data de início da validade do certificado não deve ser no futuro e a data de expiração da validade não deve ser no passado.
|
A chave privada na entrada não deve ser criptografada. Se houver chaves privadas criptografadas, elas serão rejeitadas pelo sistema. |
Exemplo 1
----BEGIN ENCRYPTED PRIVATE KEY----- <Encrypted private key> -----END ENCRYPTED PRIVATE KEY-----
Exemplo 2
-----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED <content here> -----END RSA PRIVATE KEY-----
Exemplo 3
-----BEGIN EC PRIVATE KEY----- Proc-Type: 4,ENCRYPTED <content here> -----END EC PRIVATE KEY-----
Se a instalação do certificado falhar, consulte o artigo da base de conhecimento (KB):https://kb.netapp.com/mgmt/AIQUM/AIQUM_fails_to_install_externally_generated_certificate["O ActiveIQ Unified Manager falha ao instalar um certificado gerado externamente"^]