Creación e instalación de certificados personalizados firmados por CA

Versión del producto: 10.6

Último modificado: 25 de enero de 2022

Pregunta

¿Cómo puedo crear e instalar un certificado personalizado firmado por una CA para Transportador?

Respuesta

Antes de que NAKIVO Backup & Replication pueda utilizar el transportador, el Director debe reconocerlo como seguro. Este proceso requiere dos certificados, uno por parte del director y otro por parte del transportador.

Nota
El proceso de creación y configuración de certificados requiere el paquete OpenSSL, que debe estar instalado en el sistema operativo Linux.

Creación de certificados firmados por CA

Para crear y configurar un certificado personalizado firmado por CA, haga lo siguiente:

1. Generar clave RSA con los siguientes comandos:
   

   openssl genrsa -out rsa.key 2048
   

   openssl rsa -in rsa.key -noout -text

2. Genere una solicitud de firma de certificado (CSR) con los siguientes comandos:
   

   openssl req -new -key rsa.key -out rsa.csr
   

   openssl req -in rsa.csr -noout -text

3. Genere la clave CA y el certificado autofirmado con los siguientes comandos:
   

   openssl genrsa -out ca.key 2048
   

   openssl req -new -x509 -key ca.key -out ca.crt

4. Realice el procedimiento de firma con los siguientes comandos:
   

   openssl x509 -req -in rsa.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out rsa.crt
   

   openssl x509 -in rsa.crt -noout -text

5. Cambia el nombre de rsa.crt a rsa.pem.

6. Cree un archivo independiente que incluya tanto la clave como el certificado con el siguiente comando:
   

   cat rsa.key rsa.pem > certkey.pem

7. Cambie el nombre de ca.crt a CA-Certificate.pem.

Instalación de certificados firmados por CA

Para instalar un certificado personalizado firmado por CA creado con el método descrito anteriormente o preparado de antemano, haga lo siguiente:

1. Cambie el nombre de su archivo de certificado a CA-Certificate.pem y colóquelo en la carpeta /opt/nakivo/director/userdata.

   Importante
   El Nombre del archivo de certificados que se pondrá en la carpeta userdata no puede ser otro que CA-Certificate.pem.

2. Ejecute el siguiente comando:
   

   chmod 755 CA-Certificate.pem

3. Reinicie el servicio del director con el siguiente comando:
   

   systemctl restart nkv-dirsvc

4. Realice la instalación del transportador descrita aquí y especifique la ruta al certkey.pem.