Reading Time: 2 minutes

Chi ha provato (o sta utilizzando) PernixData FVP si sarà accorto che ogni volta accedete al manager vi comparirà un warning legato al certificato. Anche se importate il certificato, il warning permane.

Questo perché il certificato che viene installato è statico (e non generato al momento) e contiene come nome del server la stringa fvp.pernixdata.com che difficilmente corrisponderà al vostro FQDN del manager server. Quindi il certificato non è valido non solo per la CA che non è trusted (e questo sarebbe risolvibile importando il certificato), ma anche perché il nome non corrisponde (e questo non può essere risolto con la semplice importazione del certificato, ma bisogna rigenerare il certificato).

Per risolvere il problema serve quindi un certificato self-signed (previo poi importalo nel proprio client) oppure un certificato valido rilasciato da una CA attendibile (anche interna).

Per creare un nuovo certificato self-signed viene d’aiuto uno specifico articolo della PernixData KB (accedibile però solo tramite login) che spiega i vari passi nel dettaglio.

Il primo passo è disporre del OpenSSL toolkit (il modo più semplice è utilizzare una macchina Linux, ma si può scaricare l’OpenSSL anche per Windows).

A questo punto si può generare il certificato con il comando seguente:

openssl req -nodes -new -x509 -keyout rui.key -out rui.crt -days 3650 ( -config openssl.cnf )

Il file openssl.cnf può essere preparato in anticipo con tutte le domande (l’articolo di KB ne mostra un esempio), ma si può anche procedere in modalità interattiva. L’unica accortezza è usare per il CommonName match il nome DNS completo (FQDN) del vostro FVP Manager. Notare anche che il certificato viene generato con una validità di 10 anni.

A questo punto bisogna convertire il formato:

openssl pkcs8 -topk8 -inform PEM -outform DER -in rui.key -out new-key -nocrypt

E rinominare o copiare il file rui.crt:

copy rui.crt new-cert

A questo punto bisogna copiare i file new-cert e new-key direttamente nel vostro FVP management in una directory particolare. Nel caso lo abbiate installato con i parametri di default sarà:

C:\Program Files\PernixData\FVP Management Server\Server\conf\

Alla fine dovrete riavviare il servizio del PernixData FVP management Server:

net stop prnxserv
net start prnxserv

Ovviamente, essendo il certificato self-signed, bisognerà poi importarlo in ogni client, all’interno della “Trusted Root Certification Authorities”, per evitare che compaia il warning legato alla CA non attendibile.

Share