PowerFlex 3.X: Il certificato viene perso durante l'aggiornamento tramite OVA con metodo di backup e ripristino

L'upgrade a PowerFlex Manager 3.7 utilizzando il nuovo OVA con un metodo di backup o ripristino può comportare la perdita dei certificati generati in precedenza per LDAP, con conseguenti problemi di configurazione LDAP.

I certificati SSL dell'appliance vengono utilizzati per l'interfaccia web di PowerFlex Manager. I certificati attendibili SSL vengono utilizzati per l'integrazione sicura di Active Directory.

PowerFlex Manager > Gestione >degli appliance virtualiI certificati SSL/attendibili sono presenti prima del backup di PowerFlex Manager, ma mancano dopo un ripristino su OVA appena implementato:
 

Dopo il backup o il ripristino di PowerFlex Manager su OVA appena implementato, i certificati attendibili SSL scompaiono. I certificati SSL dell'appliance potrebbero non essere presenti dopo questo processo. 
 

Backup/ripristino dei certificati SSL e dei certificati attendibili dell'appliance:

Certificati SSL dell'appliance:

1. Accedere all'appliance PFxM utilizzando SSH e sudo a root (sudo SU -)
2. Copiare i seguenti file in /home/delladmin/ o copiarli in /tmp/ in questo modo non è necessario eseguire il passaggio 3 per le autorizzazioni.

   1. /etc/pki/tls/certs/localhost.crt

   2. /etc/pki/tls/private/localhost.key

3. Eseguire il seguente comando per modificare il proprietario in delladmin sui file in modo da poterli copiare dall'appliance:

   1. Chown delladmin: delladmin /home/delladmin/localhost.*

4. Copiare i file localhost.crt e localhost.key dall'appliance PFxM al server jump o a un altro sistema Linux per lo storage temporaneo.

Dopo aver eseguito il deployment OVA e il ripristino del backup, è possibile effettuare le seguenti operazioni per ripristinare il certificato SSL dell'appliance PFxM:

1. Accedere all'appliance PFxM utilizzando SSH e sudo a root (sudo SU -)
2. Copiare il file .crt e. Impostare i file dall host jump o dalla posizione del file al nuovo appliance PFxM in /home/delladmin/ o /tmp/
3. Eseguire i seguenti comandi per regolare le autorizzazioni allo stato originale o controllarle in quanto il modo in cui sono state copiate potrebbe aver mantenuto le autorizzazioni corrette.  È sempre possibile eseguire chown/chmod senza problemi a prescindere:

   1. Chown root: root /path/to/files/localhost.*

   2. Chmod 755 /path/to/files/localhost.crt

   3. Chmod 400 /path/to/files/localhost.key

4. Copiare i file nel percorso predefinito:

   1. Cp /path/to/files/localhost.crt /etc/pki/tls/certs/

   2. Cp /path/to/files/localhost.key /etc/pki/tls/private/

5. Riavviare l'appliance PFxM.
6. Al riavvio, verificare che il certificato venga visualizzato correttamente nel browser e nell'interfaccia utente web di PFxM in Settings > Virtual Appliance Management Appliance > SSL Certificate

Certificati affidabili SSL: 

1. Dall'appliance PowerFlex Manager 3.6.x originale copiare il database cacerts sul server jump o sulla destinazione scelta (è possibile utilizzare WinSCP o un'applicazione equivalente): /etc/pki/java/cacerts

2. Copiare il file cacerts nell'appliance >> PowerFlex 3.7 appena implementato Eseguire il comando riportato di seguito per elencare il contenuto; dovrebbe mostrare una serie di certificati.

   keytool-list -keystore /etc/pki/ca-trust/extracted/java/cacerts -storepass "changeit"

     

• In questo esempio è stato copiato in /home/delladmin/cacerts
• Si noti che contiene 140 voci in questo esempio:

3. Eseguire il comando riportato di seguito per verificare che il certificato pfxm sia presente; in questo esempio viene visualizzato come _pfxm_testcert

    keytool-list -keystore /home/delladmin/cacerts -storepass "changeit" |grep -i pfxm 

• Prendere nota della _pfxm_testcert del nome file in questo esempio:

4. Esportazione di certificati dal database di backup cacerts

• Alias in questo esempio è _pfxm_testcert
• Changeit è la password dell'archivio chiavi
•   Trusted_LDAP_AD.pem è il nome del file utilizzato per il certificato, ma è possibile chiamarlo come si vuole

Keytool -exportcert -rfc -keystore /home/delladmin/cacerts-alias _pfxm_testcert -storepass changeit -file Trusted_LDAP_AD.pem

 

5. Da qualunque directory tu l'abbia eseguito, copia Trusted_LDAP_AD.pem (o qualsiasi nome file tu gli abbia dato) sul tuo server jump o qualunque destinazione tu scelga usando WinSCP o un'applicazione equivalente, nello screenshot sopra il comando è stato eseguito come root quindi ha salvato il file in /root/

6. Carica Trusted_LDAP_AD.pem (o qualsiasi nome tu abbia usato) in SSL Trusted Certificates cliccando su edit nella sezione SSL Trusted Certificates:

7. Individuare il file copiato (Trusted_LDAP_AD.pem in questo esempio)

8. Dopo la richiesta, dovrebbe essere presente un certificato attendibile: