Navigation¶

• Main Page
  

• Random Page
• Create a new Page
• All Pages
• Categories
• Navigation Paths
  

• Administration
• File Management
  

• Create Account
  

Search the wiki
»

Změna SSL certifikátu WebGUI řadiče HighPoint RocketRAID 2220

Pokud se vám po aktualizaci webového prohlížeče (Internet Explorer, Opera) nedaří otevřít WebGUI řadiče HighPoint RocketRAID 2220, problém je nejspíš v SSL certifikátu. Je to self-signed certifikát, vytvořený v průběhu instalace, s dobou platnosti 10 let, který obsahuje několik CN (localhost, NetBIOS název serveru, FQDN serveru a jedna z IP adres serveru). Bohužel o něm od určité doby většina prohlížečů tvrdí, že má neplatný digitální podpis, SSL komunikaci tedy neumožní a tudíž se do WebGUI nedostanete.

Jako workaround můžete zkusit použít Firefox, ve kterém (zatím) po vytvoření bezpečnostní výjimky tento certifikát funguje, ale pro úplné vyřešení problému bude nutné stávající certifikát nahradit novým validním.

Jednou z možností, jak platný SSL certifikát vytvořit, je využít existující certifikační autoritu ve Windows doméně. Tím získáme certifikát ve formátu PFX, který však HighPoint WebGUI server neumí použít. Je nutné certifikát převést do formátu PEM a dešifrovat jeho privátní klíč. K tomu lze použít volně dostupný produkt OpenSSL, jehož distribuční balíčky pro Windows lze stáhnout na adrese http://slproweb.com/products/Win32OpenSSL.html. Postup níže je vyzkoušený na verzi 0.9.8, zde jsou přímé odkazy ke stažení této verze:

• pro 32bitové Windows (x86): Win32OpenSSL_Light-0_9_8y.exe
• pro 64bitové Windows (x64): Win64OpenSSL_Light-0_9_8y.exe
  

Pravděpodobně bude nutné stáhnout a nainstalovat VisualC++ 2008 run-time knihovny:

• pro 32bitové Windows (x86): vcredist_x86.exe
• pro 64bitové Windows (x64): vcredist_x64.exe
  

1. Spusťte MMC konzolu

   Spuštění MMC konzole

2. Klepněte na File > Add/Remove Snap-in...

   Nastavení MMC konzole

3. Klepněte na Certificates a pak Add

   Přidání snap-inu Certificates

4. Vyberte Computer account a pokračujte stiskem Next

   Nastavení snap-inu 1

5. Vyberte Local computer a pokračujte stiskem Finish

   Nastavení snap-inu 2

6. Uzavřete okno stiskem OK

   Dokončení přidání snap-inu

7. V levém panelu rozbalte větev Certificates (Local Computer)\Personal\Certificates, v prostředním panelu klepněte pravým tlačítkem myši do prázdného místa a v kontextové nabídce vyberte All Tasks > Request New Certificate...

   Kontextová nabídka - Žádost o nový certifikát

8. Klepnutím na Next spusťte průvodce vydáním certifikátu

   Průvodce vydáním certifikátu

9. Vyberte Active Directory Enrollment Policy a pokračujte stiskem Next

   Výběr politiky

10. Vyberte Web Server a klepněte na odkaz "More information is required to enroll for this certificate. Click here to configure settings."

    Výběr typu certifikátu

11. V okně Certificate Properties postupně projděte jednotlivé záložky, ale zatím neklepejte na tlačítko OK!
12. Na záložce Subject v sekci Subject name v paletě Type vyberte položku Common name, v poli Value zadejte FQDN serveru, ve kterém je HighPoint řadič nainstalován a klepněte na Add

    Vlastnosti certifikátu - Subject name

13. V sekci Alternative name v paletě Type vyberte položku DNS a prostřednictvím pole Value a tlačítka Add postupně zadejte všechna alternativní jména, která budete pro přístup k WebGUI používat.

    Vlastnosti certifikátu - Alternative name 1

14. Doporučuji zadat minimálně NetBIOS název serveru, "localhost", "127.0.0.1" a ještě jednou FQDN serveru. Poté pokračujte na záložce General

    Vlastnosti certifikátu - Alternative name 2

15. Na záložce General v poli Friendly name vyplňte popisný název certifikátu, např. HighPoint WebGUI Management, a pokračujte na záložce Private Key

    Vlastnosti certifikátu - Friendly name

16. Na záložce Private Key v sekci Cryptographic Service Provider zkontrolujte zatržení u Microsoft RSA... a Microsoft DH...

    Vlastnosti certifikátu - CSP

17. Na záložce Private Key v sekci Key options zatrhněte Make private key exportable. Volba Strong private key protection musí být nezatržena!

    Vlastnosti certifikátu - Key options

18. Na záložce Private Key v sekci Key type vyberte položku Exchange a pokračujte stiskem OK

    Vlastnosti certifikátu - Key type

19. Stiskem tlačítka Enroll odešlete žádost o certifikát doménové certifikační autoritě.

    Odeslání žádosti o certifikát

    Pozn. V závislosti na nastavení CA může být nutné autorizovat vydání certifikátu.
20. Po úspěšném vydání certifikátu doménovou certifikační autoritou jej vyberte a po stisku pravého tlačítka myši v kontextové nabídce vyberte All tasks > Export...

    Kontextová nabídka - Export certifikátu

21. Klepnutím na Next spusťte průvodce exportem certifikátu

    Průvodce exportem certifikátu

22. Vyberte volbu Yes, export the private key a pokračujte stiskem Next. Pokud na výběr nemáte, nezatrhli jste v žádosti o certifikát na záložce Private Key v sekci Key options volbu Make private key exportable a budete muset postup opakovat...

    Nastavení exportu - Export Private Key

23. V položce Personal Information Exchange - PKCS #12 (.PFX) zatrhněte Include all certificates in the certification path if possible, ostatní volby nechte nezatržené a pokračujte stiskem Next. Pokud máte aktivní jinou položku, pravděpodobně jste v předchozím kroku vybrali volbu No, do not export the private key. Vraťte se a pokračujte volbou Yes, export the private key.

    Nastavení exportu - Export File Format

24. Zadejte heslo, pro potvrzení jej zopakujte a především si jej zapamatujte - o pár kroků níže jej bude nutné zadat při převodu certifikátu do formátu PEM. Pokračujte stiskem Next.

    Nastavení exportu - Password

25. Vyberte cílový adresář a název souboru a pokračujte stiskem Next.

    Nastavení exportu - File name

26. Dokončete průvodce stiskem Finish.

    Průvodce exportem certifikátu - dokončení

27. Zavřete okno s potvrzením exportu certifikátu.

    Průvodce exportem certifikátu - úspěšný export

28. Zavřete okno MMC konzole bez uložení změn.

    Ukončení MMC konzole

29. Spusťte okno příkazového řádku (cmd.exe) a přepněte se do podadresáře Bin v adresáři, do kterého jste nainstalovali OpenSSL
30. Zadejte příkaz

    openssl pkcs12 -in X:\Cesta1\Certifikat.pfx -out Y:\Cesta2\hptsvr.pem -nodes

    kde X:\Cesta1\Certifikat.pfx určuje certifikát vyexportovaný z certifikační autority a Y:\Cesta2\hptsvr.pem určuje cílový adresář a jméno souboru, které musí být hptsvr.pem
31. Zadejte heslo, které jste zadali při exportu certifikátu v kroku 24
32. Zkonvertovaný certifikát uložte do adresáře, kde je nainstalované HighPoint WebGUI, typicky "C:\Program Files (x86)\HighPoint Technologies, Inc\HighPoint RAID Management Software\Service" nebo "C:\Program Files\HighPoint Technologies, Inc\HighPoint RAID Management Software\Service"
    

Nyní by již mělo WebGUI fungovat bez potíží z jakéhokoli prohlížeče.