Renouveler/Créer des certificats “PKI” sur un NAS VNX

Anachronique me direz-vous ? C’est sûr que par rapport à mes billets “habituels” plutôt tournés vers les nouvelles technologies et solutions avant-gardistes, ça parait un peu vieillot de parler de nos bons vieux NAS VNX. Maaaaais, vous le savez bien, quand on met en production une nouvelle infrastructure de stockage, il faut la garder et l’exploiter longtemps (au moins 4/5 ans en moyenne chez nous). Logique, dans ces conditions que l’on continue à apprendre sur ces équipements, n’est-ce pas :)

Je vous propose donc un petit tuto rapide qui vous permettra de renouveller/changer le certificat SSL de votre tête NAS VNX (Celerra pour les intimes) en deux temps, trois mouvements. L’opération est valable si vous disposez déjà en interne d’une PKI d’entreprise où si vous êtes capable de générer directement une CA pour l’occasion (il existe de nombreux exemple basés sur OpenSSL sur la toile).

La première étape consiste à recréer une clef privée ainsi que le CSR associé à destination de la PKI de votre infrastructure. Pour se faire, logguez vous via SSH sur votre tête nas, sous root (nasadmin n’a pas les droits suffisants). Une fois connecté, placez-vous dans le répertoire /nas/http/conf. Il ressemble normalement à quelque chose comme ça :

Commencez par éditer le fichier “celerrassl.cnf” (vi est ton ami). Si vous n’avez pas de fichier de backup, je vous conseille avant toute opération d’en faire une copie pour être plus tranquille (cp est ton ami). Ce fichier correspond au fichier de réponse que nous allons utiliser pour générer automatiquement la nouvelle clef et le certificat request via OpenSSL. Il ressemble à cela :

Seules les 3 premières lignes nous intéressent, à savoir IP_ADDR, HOSTNAME_SHORT et HOSTNAME_LONG. Remplacez le contenu de ces variables par, respectivement, l’IP de votre Control Station, son nom Host court et son FQDN. Une fois l’édition réalisée, on va générer notre nouvelle clef privée et son csr associé. Pour se faire, utilisez les commandes suivantes :

Si vous le souhaitez, vous pouvez aussi modifier la taille/complexité de la clef privée qui va être générée en augmentant la valeur située juste après l’argument “rsa”. Aujourd’hui un petit 4096 est de bon aloi ;)

A l’issue de cette opération, récupérez le fichier .csr (le certificate request) ou son contenu et demandez à vos administrateurs de PKI de vous générer le certificat correspondant. En retour, vous devriez récupérer un fichier de type .crt / .cert au format “PEM”. Placez ce fichier dans le répertoire “mon_nouveau_ssl”, qui contient donc désormais la clef privée, le certificate request et le certificat.

Enfin, il va falloir changer les liens symboliques situés dans le répertoire. Ces fichiers s’appellent respectivement current.key et current.crt et pointent actuellement sur l’ancienne clef et son certificat associé. Pour se faire, procédez comme suit :

C’est terminé ! Il vous reste juste à relancer le serveur apache/tomcat servant l’interface de management de la Control Station, soit en la redémarrant ou plus rapidement, via ces commandes :

Cette petite documentation est librement inspirée de la documentation issue des forum communautaires EMC que voici.

One thought on “Renouveler/Créer des certificats “PKI” sur un NAS VNX

  1. Cédric Cédric says:

    Je vieillis … j’avais en fait déjà publié un article équivalent en 2013 sur vBlog.io . Mieux vaut deux fois qu’une comme dirait l’autre ….

    Pfff :)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *