解决了

使用Lets加密证书棱镜中心和棱镜元素

  • 2018年4月17日
  • 11回复
  • 2364的浏览量

徽章
我正在寻找替换我的SSL证书的棱镜中心和棱镜元素部署与让加密通配符证书。

我可以容易地要求通配符证书

Sudo certbot -d example.com -d *.example.com——manual——preferred-challenges dns-01——server https://acme-v02.api.letsencrypt.org/directory当然

我生成了三个文件:
privkey = /etc/letsencrypt/live/example.com/privkey.pem.
链= /etc/letsencrypt/live/example.com/chain.pem.
fullchain = /etc/letsencrypt /生活/ example.com/fullchain.pem

谁能告诉我,我可以使用什么openssl命令来将这些.pem文件转换为所需的格式为Prism Central/Prism Element?我尝试从https://www.sslsupportdesk.com/openssl-commands/多个命令,但我似乎不能找到确切的一个。

如果我需要额外的证书,我也可以从这里获取中间/根证书。
https://letsencrypt.org/certificates/

我也在寻找一种最终的方法来脚本这个过程,所以如果有人知道如何通过CLI替换Prism Central/Prism Element中的证书,我也会感激。最初,只要找到要使用的正确证书格式,我就很高兴了。
图标

最好的答案Reinder2018年11月30日,15:28

\r\nTo answer your question, openssl is not needed to convert the certificates.
\r\nWhat is tricky is to get Nutanix to take the chain.pem, after some frustrating tries I got it to work like this:
\r\n
\r\n ncli ssl-certificate import certificate-path=\/full\/path\/to\/cert.pem cacertificate-path=\/full\/path\/to\/mychain.pem key-path=\/full\/path\/to\/privkey.pem key-type=\"RSA_2048\"
\r\n
\r\nWhere mychain.pem I created by combining https:\/\/letsencrypt.org\/certs\/letsencryptauthorityx3.pem.txt with https:\/\/letsencrypt.org\/certs\/isrgrootx1.pem.txt
\r\nSo cat letsencryptauthorityx3.pem.txt isrgrootx1.pem.txt > mychain.pem
\r\n
\r\nHope this helps someone,
\r\n
\r\nReinder - TriOpSys - NL","className":"post__content__best_answer"}">
查看原始

本主题已关闭供评论

11回复

你好,

最好使用openssl来创建csr和密钥文件。将csr带到您的证书颁发机构,并对其进行签名。你可以从中得到一个pem。获取pem文件、密钥文件和根/ca包,并将其上传到prism控制台。

确保也使用SAN,否则浏览器会抱怨。
徽章
我很欣赏响应@lapfcukle,但这意味着我需要从加利福尼亚州购买证书。使用Letsencrypt使我能够获得免费的有效证书。

我从LetSencrypt获取有效证书,我只需要知道如何将它们转换为棱镜中央/棱镜元素可以使用的格式。
好吧,我把这个贴在这里,因为这是最高的帖子,如果你让nutanix prism加密的话。
要回答您的问题,不需要openssl来转换证书。
什么是棘手的是让Nutanix带领链条.Pem,经过一些令人沮丧的尝试,我把它搞定了这样的工作:

ncli ssl-certions导入证书 - path = / full / path / to / cert.pem cacertificate-path = / full / path / to / mychain.pem key-path = / full / path / to / privkey.pem键类型=“RSA_2048”

mychain。我通过组合https://letsencrypt.orgorityx3.pem.txt与https://letsencrypt.org/certs/srgrootx1.pem.txt来组合https://letsencrypt.orgorityx3.pem.txt。
所以cat letsencryptauthorityx3.pem.txt是rgrootx1.pem.txt > mychain.pem

希望这能帮助到一些人,

reinder - tripsys - nl
Userlevel 1
徽章 +2

正如使用Lets加密安装SSL-Cert的更新,我创建了Certbot Certonly选项的证书,并将所有文件复制到CVM。

因为您已经得到了完整的chain文件,所以不需要将链文件合并在一起。
在我这边,它与我从letsencrypt获得的标准文件一起工作。

使用fullchain.pem-file作为cacercertificate -path !

这是所有


问候

Omero

Userlevel 2
徽章 +5

我只是得到一个错误消息:

错误:写入数据的问题,类java.util.linkedlist,contentType:multipart / form-data

当试图用ncli ssl-certificate import…

Userlevel 2
徽章 +5

在数据/日志/ prism_gateway.log中存在此错误

INFO 2020-10-21 23:47:42,326z http-nio-0.0.0.0-9081-ex-2 [] commands.keys.addpemkey.checkcertpurpose:'ssl server'的目的值是'是'。
ERROR 2020-10-21 23:47:42,356Z http-nio-0.0.0.0-9081-exec-2 [] prism.aop.RequestInterceptor。调用:235从KeyAdministration.importFiles抛出异常
com.nutanix.prism.exception.keys.KeyAdministrationException: com.nutanix.util.base.ValidationException:导入文件验证失败。请上传有效的CA证书/链文件并选择相应的密钥类型。
com.nutanix.prism.services.keys.KeyAdministrationImpl.importFiles (KeyAdministrationImpl.java: 111)

但是需要选择RSA_2048密钥类型和有效的RSA 2048证书和CA链。

Userlevel 2
徽章 +5

测试后

Userlevel 2
徽章 +5

我解决了这个问题,至少部分解决了。

我使用https://github.com/srvrco/getssl项目生成证书,它正在创建一个“全链”。其中只包含服务器证书和中间CA证书,但不包含根CA证书。pem文件,而我的中间CA签署了一个不同的证书。

我还没有成功用ncli替换certs。

Userlevel 2
徽章 +5

ncli在CE.2020.09.16版本中似乎坏了,我一直得到错误以上

然而,使用Prism使用的一个没有文档记录的v1 API调用,我已经能够安装带有curl的证书,如下所示

$ curl——user 'admin:password' \
-f cachain=@fullchain.crt \
- f cert = @server。crt \
- f键= @server。关键\
-f keytype = rsa_2048 \
- k https://127.0.0.1:9440 PrismGateway /服务/ rest / v1 /键/ pem /导入

HullChain.crt在PEM格式中包含中间和根CA证书。

徽章 +1

你有没有比这更好的方式,让Letsencrypt设法使用上面的卷曲以及它安装的同样的问题,然而看似看似“发表”

徽章 +1

秘籍……重启cvm(在我的例子中是单节点)…工作! !

Baidu