Almacenamiento Abierto

En el post  Seguridad en una SAN Brocade II – Administración con protocolos inseguros  se vió como denegar el acceso a los switches Brocade a través del interfaz de administración por protocolos no seguros, TELNET y HTTP. A continuación veremos como activar el protocolo HTTPS para acceder a la herramienta WEB TOOLS. El procedimiento se compone de una miscelanea de fuentes ya que el descrito en el Admin Guide del Fabric OS no es exacto. Se describe a continuación como se ha generado para el core de una fabric y de forma análoga se debe de realizar en el resto de switches: 

1.- Hacer login con usuario con privilegios de administrador por SSH al switch al que se habilitará HTTPS y ejecutar la siguiente secuencia de comandos: 
 

core1:angel> seccertutil genkey 
Generating a new key pair will automatically do the following: 
1. Delete all existing CSRs. 
2. Delete all existing certificates. 
3. Reset the certificate filename to none. 
4. Disable secure protocols. 

Continue (yes, y, no, n): [no] yes 
Select key size [1024 or 2048]: 1024 
Generating new rsa public/private key pair 
Done. 

core1:angel> seccertutil gencsr 
Country Name (2 letter code, eg, US):ES 
State or Province Name (full name, eg, California):Sevilla 
Locality Name (eg, city name):Sevilla 
Organization Name (eg, company name):AA 
Organizational Unit Name (eg, department name):LABS 
Common Name (Fully qualified Domain Name, or IP address):core1 
Generating CSR, file name is: 192.168.100.1.csr 
Done. 

core1:angel> seccertutil export 
Select protocol [ftp or scp]: ftp 
Enter IP address: 192.168.200.1 
Enter remote directory: /home/angel/certs/ 
Enter Login Name: angel 
Enter Password:  
Success: exported CSR. 

2.- Copiar el fichero CSR a un servidor que contenga las utilidades openssl y el par de clave/certificado de la Agencia Certificadora "cacert.pem y cakey.pem". El siguiente comando generará a partir del fichero CSR un certificado que importaremos desde el switch para activar el sevicio HTTPS: 

 

angel@miequipo ~/pendiente/certificados $ openssl x509 -req -days 3650 -in 192.168.100.1.csr -CA cacert.pem -CAkey cakey.pem -set_serial 01 -out 192.168.100.1.pem 
Signature ok 
subject=/C=ES/ST=Sevilla/L=Sevilla/O=AA/OU=LABS/CN=core1 
Getting CA Private Key 
Enter pass phrase for cakey.pem: 

En este caso se ha asignado un serial para cada switch (-set_serial) de la siguiente forma: 

 

core1 –> 01 
core2 –> 02 
edge4 –> 03 
edge2 –> 04 
edge8 –> 05 
edge6 –> 06 
edge3 –> 07 
edge1 –> 08 
edge7 –> 09 
edge5 –>10 
 

3.- El certificado creado importarlo en el switch 

 

core1:angel> seccertutil import -config swcert -enable https 
Select protocol [ftp or scp]: ftp 
Enter IP address: 192.168.200.1 
Enter remote directory: /home/angel/certs/ 
Enter certificate name (must have ".crt" or ".cer" ".pem" or ".psk" suffix):192.168.100.1.pem 
Enter Login Name: angel 
Enter Password:  
Success: imported certificate [192.168.100.1.pem]. 
Certificate file in configuration has been updated. 
Secure http has been enabled. 
 

De esta forma ya está el servicio HTTPS levantado.