请求并安装 外部签名证书

如果您当前的外部签名 证书已过期或即将过期,您可以向第三方证书颁发机构 申请新的签名证书。 外部签名 证书可通过管理图形用户界面或命令行界面(CLI)进行安装。

注: 在请求和安装证书之前,请考虑以下因素:
  • 必须在系统上生成证书签名请求。 IBM Storage Virtualize 不支持系统外生成的证书签名请求。
  • 签名证书必须包含以下 X509v3 密钥使用扩展: 数字签名。 它还必须包含以下 X509v3 扩展密钥使用扩展: TLS Web 服务器认证, TLS Web 客户机认证,任何扩展密钥使用。 确保用于签署证书的认证中心 (CA) 包含这些扩展。
  • 更新证书会使您退出当前管理 GUI 会话,需要全新登录。 对于允许信任链检查的功能,在更新外部签名证书时不会中断安全连接。
  • 默认情况下,IBM® Security Guardium® Key Lifecycle Manager 密钥服务器目前不启用 IBM Storage Virtualize 的信任链检查。 从版本 4.2 开始,可以启用此设置。 如果使用签名证书链以避免将刷新的证书导出到密钥服务器,请考虑启用此设置。
  • 如果要将多因子认证与 IBM Security Verify配合使用,那么更新证书时,管理 GUI 不可用。 必须使用 CLI 导出新的外部签名证书,并将其作为新的签署者证书添加到 IBM Security Verify 以成功认证。

在管理 GUI 中,选择 设置 > 安全性 > 系统证书 ,然后从图标菜单中选择更新证书。 在 "更新证书" 页面中,选择外部签名证书并填写表单,以便为系统创建签名证书请求。 应将生成的证书签名请求 (CSR) 导出到 第三方 认证中心,以便可以对其进行签名。 从 第三方 认证中心接收到外部签名的证书后,请使用管理 GUI 或命令行界面 (CLI) 在系统上上载并安装已签名的证书。

使用管理 GUI

要配置外部签名证书,请完成以下步骤:
  1. 在管理 GUI 中,选择 设置 > 安全性 > 系统证书
  2. 从图标菜单中,选择 更新证书
  3. 在 " 更新证书 " 页面中,选择 证书类型 作为 外部签名证书
  4. 如果您已在使用证书,那么将自动填充 证书详细信息 。 您可以更新以下任何详细信息:
    键类型
    选择用于生成证书的密钥类型。
    状态
    输入请求证书的系统所在的状态的名称。
    市/县/区
    输入系统所在城市的名称。
    组织名称
    输入组织的名称。
    组织单元
    输入组织单元的名称。
    公共名称
    输入证书的公共名称。
    电子邮件地址
    输入电子邮件地址。
    主题备用名称
    主题备用名称是系统的主机名。

    Web 浏览器以及使用证书认证的其他功能部件需要 主体替代名称,这是公用密钥证书的因特网标准的扩展。 主题备用名称 扩展用于匹配域名和站点证书,可以是电子邮件地址, IP 地址, URI 或 DNS 名称。 证书可包含这些值的集合,以便您可以在多个站点上使用此证书。

    主题备用名称 字段可以包含集群或 DNS 名称的管理 IP 地址,集群或 DNS 名称中每个节点的服务 IP 地址以及为 IP 复制配置的任何 IP 地址。

    例如,如果系统的管理 DNS 名称为 cluster.company.com,服务 DNS 名称为 node1.company.comnode2.company.com,请在 主题备用名称 字段中输入这些值。 对于多个值,请在主题备用名称字段框中列出所有这些值(每行一个值):
    DNS:cluster.company.com 
DNS:node1.company.com 
DNS:node2.company.com 
IP:196.192.0.20
  5. 单击 生成请求。 此操作提供用于下载文件的对话窗口。 选择本地机器上的位置以保存文件。
  6. 如果生成了签名请求,那么您可以选择在发生错误时取消未完成的签名请求。 要取消任何未完成的签名请求,请完成以下步骤:
    1. 选择 设置 > 安全性 > 系统证书
    2. 从图标菜单中,选择 取消未完成的签名请求
    3. 单击
  7. 将生成的 CSR 文件共享给可信的第三方 CA。 如果 CA 是公共 CA ,那么在签发签名证书之前, CA 可能需要一些时间来验证您的身份。 准备就绪后,从 CA 下载已签名的证书文件。 您还可以下载用于签署请求的任何中间 CA 证书。 这些文件都必须采用 PEM 格式。
  8. 如果使用中间 CA 对证书请求进行签名,请创建单个文件,其中包含已签名证书的内容和每个中间 CA 证书的内容,并将这些内容并置在一起。 根 CA 证书不是必需的,但可以选择包含此证书。
  9. 选择 上载签名证书
  10. 在 " 上载签名证书 " 页面上,单击 添加文件 以选择下载到设备或笔记本电脑的新签名证书。
  11. 单击上载。 此操作会将证书上载到系统。 有关更多信息,请参阅 导出证书
  12. 如果要使用 IBM Security Guardium Key Lifecycle Manager 密钥服务器 (当前不支持信任链检查) ,请导出新系统证书并将其安装在密钥服务器上。
  13. 如果要对 IBM Security Verify使用多因子认证 (将系统证书用作签署者证书) ,请导出新系统证书并将其作为签署者证书安装在 IBM Security Verify中。 在将新证书作为签署者证书添加到 IBM Security Verify之前,管理 GUI 不可用。

使用命令行界面 (CLI)

在命令行界面中,输入以下命令以创建新的证书请求并上载新证书:
  1. 输入以下命令以创建新的证书请求:
    chsystemcert -mkrequest -keytype ecdsa521 -country GB -state Hampshire -locality Hursley -org MYCO -orgunit Storage -commonname svcsystem1.myco.com -email admin@myco.com -subjectalternativename "DNS:test.ibm.com"

    证书请求将自动写入 /dumps/certificate.csr

    例如,要向主题备用名称扩展添加 DNS 名称,请在 chsystemcert CLI 命令中包含以下参数: -subjectalternativename "DNS:dns.mysystem.com" 对于多个值,请使用建议的定界符来分隔 -subjectalternativename 参数的每个条目。
    定界符可以混合:
    表 1. 建议的定界符
    定界符名称 符号 示例
    空间 (空格) -subjectalternativename "DNS:dns.myco.com IP:1.2.3.20 URI:http:\\www.myco.com email:support@myco.com"
    逗号 (,) -subjectalternativename "DNS:dns.myco.com,IP:1.2.3.20,URI:http:\\www.myco.com,email:support@myco.com"
    分号 (;) -subjectalternativename "DNS:dns.myco.com;IP:1.2.3.20;URI:http:\\www.myco.com;email:support@myco.com"
    Newline (适用于 Linux® 或 UNIX 操作系统) (\n) -subjectalternativename "DNS:dns.myco.com\nIP:1.2.3.20\nURI:http:\\www.myco.com\nemail:support@myco.com"
    Tab (针对 Linux 或 UNIX 操作系统) (\t) -subjectalternativename "DNS:dns.myco.com\tIP:1.2.3.20\tURI:http:\\www.myco.com\temail:support@myco.com"
    回车符 (针对 Windows 操作系统) (\r) -subjectalternativename "DNS:dns.myco.com\rIP:1.2.3.20\rURI:http:\\www.myco.com\remail:support@myco.com"
    带有换行符的回车符 (对于 Windows 操作系统) (\r\n) -subjectalternativename "DNS:dns.myco.com\r\nIP:1.2.3.20\r\nURI:http:\\www.myco.com\r\nemail:support@myco.com"
    有关受支持的定界符的更多信息,请参阅 chsystemcert CLI 命令。
  2. 使用安全副本 (scp) 将文件 /dumps/certificate.csr 从系统复制到本地机器。 将生成的 CSR 文件共享给可信的第三方 CA。 如果 CA 是公共 CA ,那么在签发签名证书之前, CA 可能需要一些时间来验证您的身份。 准备就绪后,从 CA 下载已签名的证书文件。 您还应该下载用于签署请求的任何中间 CA 证书。 这些文件都必须采用 PEM 格式。
  3. 如果使用中间 CA 对证书请求进行签名,请创建单个证书链文件,其中包含已签名证书的内容以及连接在一起的每个中间 CA 证书的内容。 根 CA 证书不是必需的,但可以选择包含此证书。
  4. 使用安全副本 (scp) 将证书复制回文件 /dumps/certificate.pem中的系统上,其中 certificate.pem 是证书的名称。
  5. 将 CA 签名证书复制到系统后,输入以下命令:
    chsystemcert -install -file /dumps/certificate.pem
    其中 /dumps/certificate.pem 是签名证书或证书链文件的绝对路径名。