Trong bài viết đầu tiên trong loạt bài này ,chúng tôi đã xem xét kiến ​​trúc OneFS SSL cùng với hai bước đầu tiên trong quy trình gia hạn hoặc tạo chứng chỉ cơ bản được trình bày chi tiết bên dưới:

Quy trình sau đây bao gồm các tùy chọn để hoàn tất việc thay thế hoặc gia hạn chứng chỉ tự ký hoặc yêu cầu thay thế hoặc gia hạn SSL từ Cơ quan cấp chứng chỉ (CA).

Ký chứng chỉ SSL

Tại thời điểm này, tùy thuộc vào yêu cầu bảo mật của môi trường, chứng chỉ có thể được tự ký hoặc được ký bởi Cơ quan cấp chứng chỉ.

Tự ký chứng chỉ SSL 

Có thể sử dụng cú pháp CLI sau để tự ký chứng chỉ bằng khóa, tạo chứng chỉ đã ký mới, trong trường hợp này, có hiệu lực trong 1 năm (365 ngày):     

# openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

Để xác minh khóa khớp với chứng chỉ, hãy đảm bảo rằng đầu ra của các lệnh CLI sau trả về cùng một giá trị tổng kiểm tra md5 :    

# openssl x509 -noout -modulus -in server.crt | openssl md5           

# openssl rsa -noout -modulus -in server.key | openssl md5

Tiếp theo, hãy chuyển đến phần Thêm chứng chỉ vào cụm của bài viết này sau khi hoàn tất bước này. 

Sử dụng CA để ký chứng chỉ

Nếu CA ký chứng chỉ, hãy đảm bảo rằng chứng chỉ SSL mới có định dạng x509 và bao gồm toàn bộ chuỗi tin cậy chứng chỉ.

Lưu ý rằng CA có thể trả về chứng chỉ SSL mới, chứng chỉ trung gian và chứng chỉ gốc trong các tệp khác nhau. Nếu đúng như vậy, chứng chỉ định dạng PEM sẽ cần được tạo thủ công.

Đáng chú ý, thứ tự đúng là quan trọng khi tạo chứng chỉ định dạng PEM. Chứng chỉ SSL phải ở đầu tệp, theo sau là chứng chỉ trung gian, với chứng chỉ gốc ở cuối. Ví dụ:        

—–BẮT ĐẦU CHỨNG NHẬN—–

<Nội dung của chứng chỉ SSL mới>

—–KẾT THÚC CHỨNG NHẬN—–

—–BẮT ĐẦU CHỨNG NHẬN—–

<Nội dung chứng chỉ trung gian>

<Lặp lại nếu cần thiết cho mọi chứng chỉ trung gian do CA của bạn cung cấp>

—–KẾT THÚC CHỨNG NHẬN—–

—–BẮT ĐẦU CHỨNG NHẬN—–

<Nội dung của tệp chứng chỉ gốc>

—–KẾT THÚC CHỨNG NHẬN—–

Một phương pháp đơn giản để tạo tệp định dạng PEM từ CLI là cat  chúngtheo đúng thứ tự như sau:

# cat CA_signed.crt trung gian.crt root.crt > onefs_pem_formatted.crt

Sao chép tệp onefs_pem_formatted.crt vào /ifs/tmp và đổi tên thành  server.crt . 

Lưu ý rằng nếu bất kỳ tệp nào được đề cập ở trên được tạo bằng phần mở rộng .cer, chúng phải được đổi tên thành phần mở rộng .crt.

Thuộc tính và tính toàn vẹn của chứng chỉ có thể được kiểm tra bằng cú pháp CLI sau:       

# openssl x509 -text -noout -in server.crt

Thêm chứng chỉ vào cụm    

Bước đầu tiên trong việc thêm chứng chỉ bao gồm nhập chứng chỉ và khóa mới vào cụm:      

# máy chủ chứng chỉ isi nhập /ifs/tmp/server.crt /ifs/tmp/server.key

Tiếp theo, hãy xác minh rằng chứng chỉ đã được nhập thành công:     

# danh sách máy chủ chứng chỉ isi -v 

Có thể sử dụng lệnh CLI sau để hiển thị tên và ID tương ứng của các chứng chỉ:

# danh sách máy chủ chứng chỉ isi -v | grep -A1 "ID:"

Đặt chứng chỉ đã nhập làm mặc định:      

# thiết lập chứng chỉ isi sửa đổi --default-https-certificate=<id_of_cert_to_set_as_default>

Xác nhận rằng chứng chỉ đã nhập đang được sử dụng làm mặc định bằng cách xác minh trạng thái của Chứng chỉ HTTPS mặc định:     

# chế độ xem cài đặt chứng chỉ isi

Nếu có chứng chỉ không được sử dụng hoặc lỗi thời, bạn có thể xóa chứng chỉ đó bằng cú pháp CLI sau:      

# isi chứng chỉ máy chủ xóa --id=<id_of_cert_to_delete>

Tiếp theo, hãy xem chứng chỉ mới được nhập bằng lệnh:      

# isi máy chủ chứng chỉ xem --id=<id_of_cert>

Lưu ý rằng các cổng 8081 và 8083 vẫn sử dụng chứng chỉ từ thư mục cục bộ cho SSL. Thực hiện theo các bước dưới đây nếu bạn muốn sử dụng chứng chỉ mới cho cổng 8081/8083:

# dịch vụ isi -a isi_webui vô hiệu hóa
# chmod 640 máy chủ.khóa
# chmod 640 máy chủ.crt
# isi_for_array -s 'cp /ifs/tmp/server.key /usr/local/apache2/conf/ssl.key/server.key'
# isi_for_array -s 'cp /ifs/tmp/server.crt /usr/local/apache2/conf/ssl.crt/server.crt'
dịch vụ isi -a isi_webui kích hoạt

Xác minh chứng chỉ SSL

Có hai phương pháp để xác minh chứng chỉ SSL đã cập nhật:

• Thông qua CLI, sử dụng lệnh openssl như sau:

# echo QUIT | openssl s_client -connect localhost:8080

• Hoặc thông qua trình duyệt web bằng cách sử dụng URL sau:

https://<tên_cụm>:8080

Lưu ý rằng <cluster_name> là FQDN hoặc địa chỉ IP, thường được sử dụng để truy cập giao diện WebUI của cụm. Chi tiết bảo mật cho trang web sẽ chứa thông tin vị trí và liên hệ, như trên.

Trong cả hai trường hợp, đầu ra bao gồm thông tin vị trí và liên hệ. Ví dụ:      

Chủ đề: C=US, ST=<yourstate>, L=<yourcity>, O=<yourcompany>, CN=isilon.example.com/emailAddress=tme@isilon.com

Ngoài ra, OneFS còn cảnh báo về thời điểm chứng chỉ sắp hết hạn bằng cách gửi cảnh báo sự kiện CELOG, tương tự như sau:

SW_CERTIFICATE_EXPIRING: Chứng chỉ mặc định X.509 sắp hết hạn: 

Sự kiện: 400170001
Chứng chỉ ‘mặc định’ trong kho ‘**’ sắp hết hạn:

Lưu ý rằng OneFS không cố gắng tự động gia hạn chứng chỉ. Thay vào đó, chứng chỉ hết hạn phải được gia hạn thủ công, theo quy trình được mô tả ở trên.

Khi thêm chứng chỉ bổ sung, chứng chỉ phù hợp sẽ được sử dụng bất kỳ lúc nào bạn kết nối với tên SmartConnect đó qua HTTPS. Nếu không tìm thấy chứng chỉ phù hợp, OneFS sẽ tự động quay lại sử dụng chứng chỉ tự ký mặc định.

Tác giả : Nick Trimbee