Implanter des certificats SSL spécifiques sur une tête NAS EMC Celerra

Pour ceux qui utilisent au quotidien des VNX Unified ou des têtes NAS dédiées de type EMC Celerra, le souci revient régulièrement et il st particulièrement rébarbatif, à l’heure où tous les navigateurs serrent beaucoup la vis concernant la validité des certificats SSL.

En effet, à chaque connexion ainsi que lors de l’utilisation des fenêtres popup de configuration des NAS Celerra, on tombe souvent sur l’alerte de certificat, et pour cause : de base, les Control Stations embarquent un certificat auto-signé, non approuvé par une autorité racine de confiance. Plusieurs méthodes existent pour se débarrasser de ce genre d’alerte, la plus radicale étant un paramétrage spécifique du navigateur autorisant d’accepter n’importe quel certificat. Pas génial, c’est le moins qu’on puisse dire, si vous vous servez de ce même navigateur pour des activité plus quotidiennes par ailleurs.

La solution la plus pérenne et, de mon point de vue, la meilleure, consiste tout simplement à changer les certificats auto-signés des CS par des certificats validés par votre PKI interne (si vous en disposez évidemment). La procédure, quoique relativement simple, n’est pas clairement décrite dans les documentations Celerra.

Voici les étapes de cette procédure :

  1. Modifier fichier celerrassl.cnf pour qu’il décrive correctement l’identité de la CS de votre NAS sur le réseau IP
  2. Re-générer une clef privée >1024 bits (en effet, de base, la clef privée du Celerra est codée sur 1024 seulement)
  3. Supprimer le mot de passe de la nouvelle clef privée
  4. Générer une demande de certificat (CSR) à l’attention des gestionnaires de votre autorité de certification
  5. Récupérer le certificat signé (CRT)
  6. Modifier les liens symboliques pointant sur la clef et son certificat pour qu’ils pointent bien vers les nouveaux
  7. Relancer le serveur Apache de la CS

Tout se passe à partir du répertoire /nas/http/conf de votre Control Station. Logguez-vous sous le compte root. Modifiez le fichier celerrassl.cnf en oubliant pas d’en faire un backup préalable, par sécurité ;) . :

Une fois fait, vous pouvez générer votre nouvelle clef privée (4096 bits ici) :

OpenSSL va vous demander un mot de passe pour verrouiller l’accès à cette clef, rentrez un mot de passe trivial temporaire car nous allons l’enlever dans la foulée :

Générez ensuite à partir de cette clef, une demande de certificat :

Le fichier request.csr contient une demande de certificat en bonne et due forme, que vous devez soumettre aux gestionnaires de votre autorité locale de certification. En retour, demandez-leur un certificat au format .PEM. Lorsque vous le recevez, copiez/coller (ou transferez) son contenu dans un nouveau fichier ssl.crt/monnas.crt (par exemple, au même endroit que les autres certificats de la CS). Enfin, vous pouvez modifier les liens symboliques qui pointent actuellement sur la vieille clef et son certificat auto-signé. Pour se faire, utilisez la commande “ln” :

Enfin, relancez Apache :

Le kill du process maître Apache sera suivi par un respawn automatique par la CS.

A l’issue de cette manip, la Control Station est désormais équipées d’un certificat officiel et signé par l’autorité de certification de votre entreprise : plus de warnings et un fonctionnement sans surprises ;)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *