Pour ceux qui utilisent au quotidien des VNX Unified ou des têtes NAS dédiées de type EMC Celerra, le souci revient régulièrement et il st particulièrement rébarbatif, à l’heure où tous les navigateurs serrent beaucoup la vis concernant la validité des certificats SSL.
En effet, à chaque connexion ainsi que lors de l’utilisation des fenêtres popup de configuration des NAS Celerra, on tombe souvent sur l’alerte de certificat, et pour cause : de base, les Control Stations embarquent un certificat auto-signé, non approuvé par une autorité racine de confiance. Plusieurs méthodes existent pour se débarrasser de ce genre d’alerte, la plus radicale étant un paramétrage spécifique du navigateur autorisant d’accepter n’importe quel certificat. Pas génial, c’est le moins qu’on puisse dire, si vous vous servez de ce même navigateur pour des activité plus quotidiennes par ailleurs.
La solution la plus pérenne et, de mon point de vue, la meilleure, consiste tout simplement à changer les certificats auto-signés des CS par des certificats validés par votre PKI interne (si vous en disposez évidemment). La procédure, quoique relativement simple, n’est pas clairement décrite dans les documentations Celerra.
Voici les étapes de cette procédure :
- Modifier fichier celerrassl.cnf pour qu’il décrive correctement l’identité de la CS de votre NAS sur le réseau IP
- Re-générer une clef privée >1024 bits (en effet, de base, la clef privée du Celerra est codée sur 1024 seulement)
- Supprimer le mot de passe de la nouvelle clef privée
- Générer une demande de certificat (CSR) à l’attention des gestionnaires de votre autorité de certification
- Récupérer le certificat signé (CRT)
- Modifier les liens symboliques pointant sur la clef et son certificat pour qu’ils pointent bien vers les nouveaux
- Relancer le serveur Apache de la CS
Tout se passe à partir du répertoire /nas/http/conf de votre Control Station. Logguez-vous sous le compte root. Modifiez le fichier celerrassl.cnf en oubliant pas d’en faire un backup préalable, par sécurité ;) . :
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
# # Configuration file for generating CS-CA signed X509 certificates for # the Celerra Control Station. Used for HTTPS exchanges. # ## ## This configuration file differs from the default openssl.cnf (from ## which this version is derived) in that it supports multiple common ## names. These will be in the form of a fully qualified host name ## (e.g., foo.bar.com), a short form of the host name (e.g., foo), and ## the IP address (e.g., 128.221.253.3). In addition, the ## subjectAltName field is used to supply the same information. ## Default values that should be set by environment variables for the ## Celerra routine using this configuration file. IP_ADDR = "<strong>IP_DE_VOTRE_CS</strong>" HOSTNAME_SHORT = "<strong>NOM_COURT_DE_VOTRE_CS</strong>" HOSTNAME_LONG = "<strong>FQDN_DE_VOTRE_CS</strong>" #################################################################### |
Une fois fait, vous pouvez générer votre nouvelle clef privée (4096 bits ici) :
|
1 |
openssl genrsa -des3 -out ssl.key/monnas.key.secure 4096 |
OpenSSL va vous demander un mot de passe pour verrouiller l’accès à cette clef, rentrez un mot de passe trivial temporaire car nous allons l’enlever dans la foulée :
|
1 |
openssl rsa -in ssl.key/monnas.key.secure -out ssl.key/monnas.key |
Générez ensuite à partir de cette clef, une demande de certificat :
|
1 |
openssl req -new -key ssl.key/monnas.key -config celerrassl.cnf -out request.csr |
Le fichier request.csr contient une demande de certificat en bonne et due forme, que vous devez soumettre aux gestionnaires de votre autorité locale de certification. En retour, demandez-leur un certificat au format .PEM. Lorsque vous le recevez, copiez/coller (ou transferez) son contenu dans un nouveau fichier ssl.crt/monnas.crt (par exemple, au même endroit que les autres certificats de la CS). Enfin, vous pouvez modifier les liens symboliques qui pointent actuellement sur la vieille clef et son certificat auto-signé. Pour se faire, utilisez la commande “ln” :
|
1 2 3 4 |
rm current.key rm current.crt ln -s /nas/http/conf/ssl.key/monnas.key current.key ln -s /nas/http/conf/ssl.crt/monnas.crt current.crt |
Enfin, relancez Apache :
|
1 |
kill -TERM `cat /nas/http/logs/start_apache.pid` |
Le kill du process maître Apache sera suivi par un respawn automatique par la CS.
A l’issue de cette manip, la Control Station est désormais équipées d’un certificat officiel et signé par l’autorité de certification de votre entreprise : plus de warnings et un fonctionnement sans surprises ;)