ECS: Varmenteiden määrittäminen ja hyväksyminen LDAPS:n kautta ECS:ssä
Summary: Varmenteiden käyttöönotto ja hyväksyminen LDAPS (Lightweight Directory Access Protocol Secure) -protokollan kautta ECS:ssä.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
LDAPS, joka tunnetaan myös nimillä LDAP (Lightweight Directory Access Protocol) over Secure Socket Layer (SSL) tai Transport Layer Security (TLS), on Active Directoryn (AD) tai LDAP-palvelimen LDAP-käytön salattu liikennemuoto.
LDAPS on riippuvainen toimivasta LDAP-yhteydestä. Tutustu ECS Administration Guideen ja tähän ECS-tietokanta-artikkeliin: AD- tai LDAP-palvelinyhteyden määrittäminen käyttöliittymässä
SSL- tai TLS-tiedonsiirrossa kriittinen komponentti ovat varmenteet. Varmista, että käytetyt varmenteet eivät ole vanhentuneita ja virheellisiä. Tämä on tärkeää, jotta kaikki koko varmenneketjun varmenteet ovat oikein.
Tarkista asia verkkotiimiltäsi.
Lataa LDAPS-varmenneketju ja ota LDAPS käyttöön seuraavien ohjeiden mukaisesti.
1. Solmun hallinnan IP-osoite on välttämätön LDAPS-varmenneketjun lataamiseksi.
2. Käyttöliittymän root-käyttäjän on ladattava LDAPS-varmenneketju solmunhallinnan komentoriviliittymäliittymään.
3A. LDAPS-varmenneketju XML-tietosisällössä solmun hallinnan IP-osoitteeseen
3B. LDAPS ottaa käyttöön parametriasetuksen XML-tietosisällössä solmun hallinnan IP-osoitteeseen
4. Käytä ECS-todennuksen palveluntarjoajan sivulla LDAPS:ää, jossa on IP-osoitteen sijaan täydellinen toimialuenimi (FQDN).
5. Testaa toimialueen käyttäjän sisäänkirjautuminen.
Vaiheessa 3
tarvitaan täydellinen toimialuenimi IP-osoitteen sijaan, kuten:
"SSL-varmenteita käytettäessä varmenteessa on oltava Subject Alternate Name (SAN), joka vastaa yhdistettävää yhteyttä, SAN:lle näytetään vain DNS-nimi, joka vastaa ECS:n määrityksiä."
Varmista sen vuoksi, että ECS-todennuksen tarjoajan sivun palvelimen URL-valintaikkunassa käytetään täydellistä toimialuenimeä IP-osoitteen sijaan.
Esimerkki: ldaps://ad-or-ldap-fqdn-domain.com
Edellä mainitut vaiheet:
- Solmun hallinnan IP-osoite on välttämätön LDAPS-varmenneketjun lataamiseksi.
Jos haluat tarkastella LDAPS-varmenneasetuksia koskevia ECS-asetuksia, hanki ensin solmun hallinnan IP-osoite.
Jos käyttöliittymän hallinnassa on verkkoyhteys, getrackinfo -n näyttää mgmt-arvot.
Käytä solmujen MGMT-IP-osoitetta. Replikointi ja tietoverkon erottaminen eivät liity seuraaviin vaiheisiin:
admin@node1:~> getrackinfo -n Named networks ============== Node ID Network Ip Address Netmask Gateway VLAN Interface 1 repl 10.xxx.xxx.11 255.255.254.0 xxx.xxx.xxx.xxx 14 public 1 mgmt 10.xxx.xxx.21 255.255.254.0 xxx.xxx.xxx.xxx 13 public 1 data 10.xxx.xxx.31 255.255.254.0 xxx.xxx.xxx.xxx 15 public 2 repl 10.xxx.xxx.12 255.255.254.0 xxx.xxx.xxx.xxx 14 public 2 mgmt 10.xxx.xxx.22 255.255.254.0 xxx.xxx.xxx.xxx 13 public 2 data 10.xxx.xxx.32 255.255.254.0 xxx.xxx.xxx.xxx 15 public 3 repl 10.xxx.xxx.13 255.255.254.0 xxx.xxx.xxx.xxx 14 public 3 mgmt 10.xxx.xxx.23 255.255.254.0 xxx.xxx.xxx.xxx 13 public 3 data 10.xxx.xxx.33 255.255.254.0 xxx.xxx.xxx.xxx 15 public 4 repl 10.xxx.xxx.14 255.255.254.0 xxx.xxx.xxx.xxx 14 public 4 mgmt 10.xxx.xxx.24 255.255.254.0 xxx.xxx.xxx.xxx 13 public 4 data 10.xxx.xxx.34 255.255.254.0 xxx.xxx.xxx.xxx 15 public
Jos VDC:ssä ei ole verkon MGMT-erotusta, käytä solmun julkista IP-osoitetta.
HUOMAUTUS: Verkon erottelu on etusijalla, jos hallintaverkko on olemassa.
Seuraavassa esimerkissä MGMT:tä ei ole "getrackinfo -n"; Käytä siksi julkista IP-osoitetta kohdassa getrackinfo hallinnan IP-osoitteena seuraavia vaiheita varten.
admin@node1:~> getrackinfo -n Named networks ============== Node ID Network Ip Address Netmask Gateway VLAN Interface admin@node1:~> admin@node1:~> getrackinfo Node private Node Public BMC Ip Address Id Status Mac Ip Address Mac Ip Address Node Name =============== ====== ====== ================= ================= ================= ================= ========= 192.1XX.2XX.1 1 MA a4:bf:xx:xx:xx:74 10.xx.xx.1 a4:bf:xx:xx:xx 192.1XX.2XX.101 provo-red 192.1XX.2XX.2 2 SA a4:bf:xx:xx:xx:c8 10.xx.xx.2 a4:bf:xx:xx:xx 192.1XX.2XX.102 sandy-red 192.1XX.2XX.3 3 SA a4:bf:xx:xx:xx:e0 10.xx.xx.3 a4:bf:xx:xx:xx 192.1XX.2XX.103 orem-red 192.1XX.2XX.4 4 SA a4:bf:xx:xx:xx:56 10.xx.xx.4 a4:bf:xx:xx:xx 192.168.219.104 ogden-red
2. Käyttöliittymän root-käyttäjän on ladattava LDAPS-varmenneketju solmunhallinnan komentoriviliittymäliittymään.
Hae pääkäyttäjän tunnus hankitun hallinnan IP-osoitteen avulla. Pääkäyttäjän salasana vaaditaan (tai jos käyttäjällä on käyttöliittymän järjestelmänvalvojan oikeudet):
curl -s -k -v -u <user> https://<NodeManagementIP>:4443/login 2>&1
Esimerkki:
# curl -s -k -v -u root https://10.xxx.xxx.21:4443/login 2>&1 Enter host password for user 'root': ...... < HTTP/1.1 200 OK < Date: Thu, 14 Jan 2021 13:51:24 GMT < Content-Type: application/xml < Content-Length: 93 < Connection: keep-alive < X-SDS-AUTH-TOKEN: BAAcdWhGbnVRVjd1WlpmR0xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxAgAC0A8= < X-SDS-AUTH-USERNAME: root < X-SDS-AUTH-MAX-AGE: 28800 < * Connection #0 to host 10.xxx.xxx.21 left intact <?xml version="1.0" encoding="UTF-8" standalone="yes"?><loggedIn><user>root</user></loggedIn>
Jos tulos ei ole HTTP/1.1 200 OK, tarkista salasana ja IP-osoite eli käyttöliittymän hallintaverkon erottaminen komennosta getrackinfo -n.
Luo pääkäyttäjän tunnuksella tunnusmuuttuja.
HUOMAUTUS: Kelvollinen tunnus on ehkä päivitettävä, jos uudessa komentorivi-istunnossa:
# export TOKEN='X-SDS-AUTH-TOKEN: BAAcdWhGbnVRVjd1WlpmR0xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxAgAC0A8='
Voit testata tunnuksen arvon suorittamalla curl Kapasiteetin tarkistuskomento:
# curl -k -X GET -H "$TOKEN" https://10.xxx.xxx.21:4443/object/capacity | xmllint --format - % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 176 100 176 0 0 249 0 --:--:-- --:--:-- --:--:-- 250 <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <cluster_capacity> <totalFree_gb>100657</totalFree_gb> <totalProvisioned_gb>447005</totalProvisioned_gb> </cluster_capacity>
3A. LDAPS-varmenneketju XML-tietosisällössä solmun hallinnan IP-osoitteeseen
3B. LDAPS ottaa parametrimäärityksen käyttöön. Hyväksy LDAPS-parametri XML-tietosisällössä solmun hallinnan IP-osoitteeseen.
Edellä oleva käyttää pääkäyttäjän tunnusta ECS-käyttöliittymän luottamussäilöön, johon LDAPS-varmenne voidaan ladata.
Katso ECS:n järjestelmänvalvojan oppaasta lisätietoja oman LDAP-varmenteen lisäämisestä.
Hanki Truststore-asetukset curl GET komento:
curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://<NodeManagementIP>:4443/vdc/truststore/settings | xmllint --format -
Esimerkki:
curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore/settings | xmllint --format - <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <truststore_settings> <accept_all_certificates>false</accept_all_certificates> </truststore_settings>
Edellä olevassa esimerkissä truststore "accept_all_certificates" arvoksi on määritetty false. Tämä tarkoittaa, että LDAPS-varmenteisiin ei luoteta.
Sitä "accept_all_certificates" Termi saattaa olla moniselitteinen, mutta sitä käytetään edelleen ECS:ssä määritettäessä, käytetäänkö LDAPS-varmenteita.
Käyttäjä voi haluta, että arvoksi asetetaan tosi tai epätosi tarpeidensa mukaan. LDAPS-yhteyden testaamiseksi LDAPS-yhteyden voi vahvistaa arvon true ja käyttäjän kirjautumisen testaaminen.
HUOMAUTUS: Aina kun LDAPS-varmenne lähetetään tai poistetaan truststoresta,
"accept_all_certificates" muuttuu takaisin epätosi. Joten jos muokkaat truststorea, sinun on asetettava "accept_all_certificates" Takaisin todeksi jälkeenpäin.
Luo xml-tiedosto truststore-asetusten muuttamiseksi curl-komennolla, jossa on xml-tietosisältö:
# sudo vi truststoresettings.xml <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <truststore_settings_changes> <accept_all_certificates>true</accept_all_certificates> </truststore_settings_changes> # cat truststoresettings.xml | xmllint --format - <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <truststore_settings_changes> <accept_all_certificates>true</accept_all_certificates> </truststore_settings_changes>
Määritä accept_all_certificates-arvoksi epätosi muokkaamalla tietosisältötiedoston arvoksi epätosi true-arvon sijaan ja suorittamalla PUT-komento hyötykuormatiedoston avulla.
Suorita curl-komento, jonka hyötykuormana on xml-tiedosto, curl PUT -komennolla:
# curl -s -k -X PUT -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://<NodeManagementIP>:4443/vdc/truststore/settings --data-binary @truststoresettings.xml
Voit tarkistaa, että "accept_all_certificates" on päivitetty, suorittamalla curl GET -komennon:
# curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore/settings | xmllint --format - <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <truststore_settings_changes> <accept_all_certificates>true</accept_all_certificates> </truststore_settings_changes>
Voit tarkastella truststore-asetusta pelkän truststore-asetuksen sijaan seuraavasti:
# curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://<NodeManagementIP>:4443/vdc/truststore | xmllint --format -
Esimerkki tyhjästä LDAP-varmenteen luottamussäilöstä:
# curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://<NodeManagementIP>:4443/vdc/truststore | xmllint --format - <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <trusted_certificates/>
Useita varmenteita voidaan tarvita, koska ECS vaatii koko varmenneketjun, juurivarmenteen, CA-varmenteen, isäntävarmenteen ja niin edelleen.
Jos haluat lisätä varmenteen truststoreen, luo xml-tiedosto käyttäjän varmenteesta. Varmenne voi olla tiedostotyyppi .pem, .crt, .cer ja niin edelleen.
Jotta varmenteet voidaan ladata ECS:ään, niiden on oltava XML-muodossa, jotta ne toimivat XML-tietosisältönä.
Varmenteen muu kuin XML-muotoinen tiedosto:
# cat cert.crt -----BEGIN CERTIFICATE----- MIIF1DCCA7ygAwIBAgIUdK2Ao2/45jYdQP0q6Dr1/ULmnc8wDQYJKoZIhvcNAQEL xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx HhrV5ezjYHY= -----END CERTIFICATE-----
Curl add -komennon xml-muoto:
# cat cert.xml | xmllint --format - <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <trusted_certificate_changes> <add> <certificate>-----BEGIN CERTIFICATE----- MIIG2TCCBMGgAwIBAgITMQAAAATxxxxxxxxxxxxxxxxxxxxxxxxxhkiG9w0BAQsF ADBbMRIwEAYKCZImiZPyLGQBGRYxxxxxxxxxxxxxxxxxxxxxxxxxFgR2aXRjMRMw ....................... pkHgxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxzxhlGh2TaTC xqz4T/sO4ggWs0Yz5nBmCZMDn6nxxxxxxrjX+ahXI= -----END CERTIFICATE-----</certificate> <certificate>-----BEGIN CERTIFICATE----- MIIG2TCCBMGgAwIBAgxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxqhkiG9w0BAQsF ADBbMRIwEAYKCZImiZxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxZFgR2aXRjMRMw EQYKCZImiZPyLGQBGRxxxxxxxxxxxxxxxxxxxxxxxxxxRW50ZXJwcmlzZS1DQTAe Fw0yMDA2MDgwNzQwxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxIiMA0GCSqGSIb3DQEB .......................... 8wYIKWr2AqSKKxcBHxxxxxxxxxxxxxxxxxxxxxxxxxxxxx3ykeRMZJk7VpQDQDLN feFI4rHZ4JOqDWttiHxxxxxxxxxxxxxxxxxxxxxxxxxxxhpXsxyjQIRvrtaCZVXz GR7Na7Ah1o+9MWenMExxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxGQlsQ47nZE2YgV -----END CERTIFICATE-----</certificate> </add> </trusted_certificate_changes>
Lataa cert-tietosisällön XML-muoto:
curl -i -s -k -X PUT -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore --data-binary @cert.xml
Voit tarkistaa, että varmenne on ladattu, suorittamalla GET-komennon. ECS:n luottamussäilön loppumerkki on " ."
# curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore | xmllint --format - <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <trusted_certificates> <certificate>-----BEGIN CERTIFICATE----- MIIG2TCCBMGgAwIBAgITMQAAAATxxxxxxxxxxxxxxxxxxxxxxxxxhkiG9w0BAQsF ADBbMRIwEAYKCZImiZPyLGQBGRYxxxxxxxxxxxxxxxxxxxxxxxxxFgR2aXRjMRMw ....................... pkHgxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxzxhlGh2TaTC xqz4T/sO4ggWs0Yz5nBmCZMDn6nxxxxxxrjX+ahXI= -----END CERTIFICATE-----</certificate> <certificate>-----BEGIN CERTIFICATE----- MIIG2TCCBMGgAwIBAgxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxqhkiG9w0BAQsF ADBbMRIwEAYKCZImiZxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxZFgR2aXRjMRMw EQYKCZImiZPyLGQBGRxxxxxxxxxxxxxxxxxxxxxxxxxxRW50ZXJwcmlzZS1DQTAe Fw0yMDA2MDgwNzQwxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxIiMA0GCSqGSIb3DQEB .......................... 8wYIKWr2AqSKKxcBHxxxxxxxxxxxxxxxxxxxxxxxxxxxxx3ykeRMZJk7VpQDQDLN feFI4rHZ4JOqDWttiHxxxxxxxxxxxxxxxxxxxxxxxxxxxhpXsxyjQIRvrtaCZVXz GR7Na7Ah1o+9MWenMExxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxGQlsQ47nZE2YgV -----END CERTIFICATE-----</certificate> </trusted_certificates>
Voit tarkistaa, että LDAPS-asetukset eivät ole palautuneet, suorittamalla curl GET -komennon:
# curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore/settings | xmllint --format - <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <truststore_settings> <accept_all_certificates>false</accept_all_certificates> </truststore_settings>
Jos sen arvo palautuu false-arvoksi, palauta sen arvoksi true.
Kun truststorea muutetaan, asetus voi määrittää arvoksi false.
Suorita curl-komento, jonka hyötykuormana on xml-tiedosto, curl PUT -komennolla:
# curl -s -k -X PUT -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://<NodeManagementIP>:4443/vdc/truststore/settings --data-binary @truststoresettings.xml
LDAPS-asetusten tarkistaminen:
# curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore/settings | xmllint --format - <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <truststore_settings> <accept_all_certificates>true</accept_all_certificates> </truststore_settings>
HUOMAUTUS: Truststoressa voi olla useita varmenteita. Muista, että koko varmenneketju voi olla tarpeen.
4. Käytä ECS-todennuksen tarjoajan sivulla LDAPS:ää, jossa on toimialuenimi IP-osoitteen sijaan.
Kun LDAPS-varmenneketju on ladattu ECS:ään, Truststore ja accept_all_certificates merkinnän arvoksi on määritetty tosi, siirry ECS-käyttöliittymän todennuspalvelun sivulle ja vaihda palvelimen URL-osoite.
< ldap://Toimialueen ohjauskoneen IP tai FQDN>
vastaanottajalle
ldaps://< Toimialueen ohjauskoneen FQDN>
Tämä on:
FQDN ja LDAPS-protokolla Sen on oltava täydellinen toimialuenimi LDAPS-käyttöä
varten.
IP-osoitteen sijaan tarvitaan FQDN,
koska SSL-varmenteissa varmenteessa on oltava Subject Alternate Name (SAN), joka vastaa yhdistettävää yhteyttä. SAN-verkossa näkyy vain DNS-nimi, joka vastaa ECS:n määrityksiä.
Varmista siksi, että ECS-todennuksen tarjoajan sivun palvelimen URL-valintaikkunassa käytetään täydellistä toimialuenimeä IP-osoitteen sijaan.
Eli:
ldaps://fqdn-domain-of-the-ad-or-ldap-server.com
HUOMAUTUS: Portti voidaan jättää pois, jos käytetään oletusporttia.
Satamat:
LDAP:n oletusportti on 389.
LDAPS:n oletusportti on 636.
URL-osoitteen muoto, jos portti ei ole oletus:
< ldap://Toimialueen ohjauskoneen IP tai FQDN:<>port> tai ldaps://< Domain Controller FQDN:><port>
5. Testaa toimialueen käyttäjän sisäänkirjautuminen.
Testaa sitten domainin käyttäjän sisäänkirjautuminen LDAPS-protokollan aikana, onnistuuko domainin käyttäjien kirjautuminen LDAPS:llä.
Siksi ECS-LDAPS-protokollayhteys toimii.
Muita tietoja:
Tarvittaessa:
Jos haluat poistaa varmenteen Truststoresta, luo xml-tiedosto, joka vastaa poistettavaa varmennetta, mutta sen sijaan, että
"add" Käytä hyötykuormana "remove":
# cat cert_remove.xml | xmllint --format - <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <trusted_certificate_changes> <remove> <certificate>-----BEGIN CERTIFICATE----- MIIG2TCCBMGgAwIBAgITMQAAAATxxxxxxxxxxxxxxxxxxxxxxxxxhkiG9w0BAQsF ADBbMRIwEAYKCZImiZPyLGQBGRYxxxxxxxxxxxxxxxxxxxxxxxxxFgR2aXRjMRMw ....................... pkHgxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxzxhlGh2TaTC xqz4T/sO4ggWs0Yz5nBmCZMDn6nxxxxxxrjX+ahXI= -----END CERTIFICATE-----</certificate> <certificate>-----BEGIN CERTIFICATE----- MIIG2TCCBMGgAwIBAgxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxqhkiG9w0BAQsF ADBbMRIwEAYKCZImiZxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxZFgR2aXRjMRMw EQYKCZImiZPyLGQBGRxxxxxxxxxxxxxxxxxxxxxxxxxxRW50ZXJwcmlzZS1DQTAe Fw0yMDA2MDgwNzQwxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxIiMA0GCSqGSIb3DQEB .......................... 8wYIKWr2AqSKKxcBHxxxxxxxxxxxxxxxxxxxxxxxxxxxxx3ykeRMZJk7VpQDQDLN feFI4rHZ4JOqDWttiHxxxxxxxxxxxxxxxxxxxxxxxxxxxhpXsxyjQIRvrtaCZVXz GR7Na7Ah1o+9MWenMExxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxGQlsQ47nZE2YgV -----END CERTIFICATE-----</certificate> </remove> </trusted_certificate_changes>
Jos haluat käyttää hyötykuormatiedostoa eli lisätä tai poistaa, käytä tätä komentoa:
# curl -s -k -X PUT -H Content-Type:application/xml-H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore --data-binary @cert_remove.xml
Voit tarkistaa hyötykuorman onnistumisen suorittamalla GET-komennon:
# curl -s -k -X GET -H Content-Type:application/xml -H "$TOKEN" -H ACCEPT:application/xml https://10.xxx.xxx.21:4443/vdc/truststore | xmllint --format - <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <trusted_certificates/>
Jos et ole varma, vastaako LDAPS-palvelin annettua varmennetta, suorita seuraava komento ja tarkista vastaava varmenne LDAPS-palvelimen pyynnön odotetusta vastauksesta.
HUOMAUTUS: Se vaatii koko ketjua
"verify error:num=21:unable to verify the first certificate".
Tässä esimerkissä LDAPS-palvelin on itse allekirjoitettu varmenne eikä kolmannen osapuolen varmenne, joten se voi antaa ylimääräisen varoituksen siitä, että palvelin on itse allekirjoitettu:
# sudo openssl s_client -connect LDAPS_server_IP:636 < /dev/null
CONNECTED(00000003)
depth=0 CN =
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN =
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
........
---
Server certificate
-----BEGIN CERTIFICATE-----
.......
A cert that it expects.
.......
-----END CERTIFICATE-----
No client certificate CA names sent
Client Certificate Types: RSA sign, DSA sign, ECDSA sign
Requested Signature Algorithms: RSA+SHA512:ECDSA+SHA512:RSA+SHA256:RSA+SHA384:RSA+SHA1:ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA1:DSA+SHA1
Shared Requested Signature Algorithms: RSA+SHA512:ECDSA+SHA512:RSA+SHA256:RSA+SHA384:RSA+SHA1:ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA1:DSA+SHA1
Peer signing digest: SHA1
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 2223 bytes and written 487 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA384
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
.......................
SRP username: None
Start Time: 1610452553
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
DONE
Tarkista varmennetiedosto, joka muodostaa yhteyden LDAPS-palvelimeen, ja jos vastaavaa varmennetta on käytettävä, se on Tarkista paluukoodi: 0 (ok)):
# openssl s_client -connect LDAPS_server_IP:636 -CAfile /home/admin/cert_file_to_be_used.crt
CONNECTED(00000003)
.......
---
Server certificate
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----
.......
---
No client certificate CA names sent
Client Certificate Types: RSA sign, DSA sign, ECDSA sign
Requested Signature Algorithms: RSA+SHA512:ECDSA+SHA512:RSA+SHA256:RSA+SHA384:RSA+SHA1:ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA1:DSA+SHA1
Shared Requested Signature Algorithms: RSA+SHA512:ECDSA+SHA512:RSA+SHA256:RSA+SHA384:RSA+SHA1:ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA1:DSA+SHA1
Peer signing digest: SHA1
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 2223 bytes and written 487 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA384
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
.........
Verify return code: 0 (ok)
---
HUOMAUTUS: Varmenteet voivat vanhentua ja vaikuttaa yhteyteen, jos niitä ei päivitetä.
Voit tarkistaa tämän tällä komennolla:
# cat /home/admin/cert.crt | openssl x509 -dates -noout notBefore=Jan 12 13:43:52 2021 GMT notAfter=Jan 12 13:43:52 2022 GMT
Komentoesimerkin JSON-versio.
Jos et käytä edellä olevia XML-komentoja (huomaa, XML on suositeltava):
curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://<NodeManagementIP>:4443/vdc/truststore/settings
Esimerkki:
curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.21:4443/vdc/truststore/settings
{"accept_all_certificates":false}
JSON-tiedoston luominen truststore-asetusten muuttamiseksi curl-komennolla JSON-tietosisällön kanssa:
# sudo vi truststoresettings.json
# sudo cat truststoresettings.json
{"accept_all_certificates": "true"}
Pythonin json.tool-moduuli voi vahvistaa JSON-tiedostomuodon. Jos on virhe, tiedosto ei ehkä ole JSON-tiedosto. Tässä esimerkissä ei ole virheitä, ja tiedosto tulostuu, joten se on muotoiltu JSON-tiedosto:
# python -m json.tool truststoresettings.json
{
"accept_all_certificates": "true"
}
Suorita curl-komento, jonka hyötykuormana on JSON-tiedosto, curl PUT -komennolla:
# curl -s -k -X PUT -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://<NodeManagementIP>:4443/vdc/truststore/settings -d @truststoresettings.json
MUISTIINPANO:
XML-hyötykuorma PUT käyttää curl-komennossa --data-binäärinen, kun taas JSON-hyötykuorma PUT käyttää
XML-hyötykuorma PUT käyttää curl-komennossa --data-binäärinen, kun taas JSON-hyötykuorma PUT käyttää
-d curl-komennossa:
--data-binary
(HTTP) Tämä lähettää tiedot täsmälleen määritetyllä tavalla ilman ylimääräistä käsittelyä:--data-ascii aka -d
(HTTP) Tämä on alias -d, --data.
Tarkista päivityksen suorittamalla curl GET -komento:
# curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.21:4443/vdc/truststore/settings
{"accept_all_certificates":true}
Testaa toimialueen käyttäjän kirjautuminen ECS-käyttöliittymässä niin, että LDAPS-varmenteet ovat nyt sallittuja.
Truststoren tutkiminen:
# curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://<NodeManagementIP>:4443/vdc/truststore
Esimerkki tyhjästä LDAP-varmenteen luottamussäilöstä:
# curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.xxx.21:4443/vdc/truststore
{"certificate":[]}
Curl add -komennon JSON-muoto, yksirivinen tiedosto, jossa rivinvaihtomerkit on korvattu \n:llä ja \r\n:llä:
Esimerkki:
{"add":["-----BEGIN CERTIFICATE-----\nxxxxx\r\n---END CERTIFICATE-----"]}
# cat cert.json
{"add":["-----BEGIN CERTIFICATE-----\nMIIF1DCCA7ygAwIBAgIUdK2Ao2/45jYdQP0q6Dr1/ULmnc8wDQYJKoZIhvcNAQEL\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nHhrV5ezjYHY=\r\n---END CERTIFICATE-----"]}
Katso ECS:n hallintaoppaasta "Lisää mukautettu LDAP-varmenne". Tällä komennolla voit lisätä tai poistaa:
# curl -s -k -X PUT -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.21:4443/vdc/truststore -d @cert.json
Latauksen tarkistaminen:
# curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.xxx.21:4443/vdc/truststore
{"certificate":["-----BEGIN CERTIFICATE-----\nMIIF1DCCA7ygAwIBAgIUdK2Ao2/45jYdQP0q6Dr1/ULmnc8wDQYJKoZIhvcNAQEL\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nHhrV5ezjYHY=\r\n---END CERTIFICATE-----"]}
Voit tarkistaa, että LDAPS-asetukset eivät ole palautuneet, suorittamalla curl GET -komennon:
# curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.21:4443/vdc/truststore/settings
{"accept_all_certificates":false}
Jos sen arvo palautui epätosi, palauta sen arvoksi tosi. Kun truststorea muutetaan, asetukseksi voidaan määrittää false.
Suorita curl-komento, jonka hyötykuormana on JSON-tiedosto, curl PUT -komennolla:
# curl -s -k -X PUT -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://<NodeManagementIP>:4443/vdc/truststore/settings -d @truststoresettings.json
LDAPS-asetusten tarkistaminen:
# curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.21:4443/vdc/truststore/settings
{"accept_all_certificates":true}
HUOMAUTUS: Truststoressa voi olla useita varmenteita. Muista, että koko varmenneketju voi olla tarpeen.
Jos haluat poistaa varmenteen truststoresta, luo JSON-tiedosto, joka vastaa poistettavaa varmennetta, mutta käytä tietosisältönä add-komennon sijaan "remove":
# cat cert.json
{"remove":["-----BEGIN CERTIFICATE-----\nMIIF1DCCA7ygAwIBAgIUdK2Ao2/45jYdQP0q6Dr1/ULmnc8wDQYJKoZIhvcNAQEL\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx\r\nHhrV5ezjYHY=\r\n---END CERTIFICATE-----"]}
Lisää tai poista varmenne seuraavalla komennolla:
# curl -s -k -X PUT -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.21:4443/vdc/truststore -d @cert.json
Latauksen tarkistaminen:
# curl -s -k -X GET -H Content-Type:application/json -H "$TOKEN" -H ACCEPT:application/json https://10.xxx.xxx.xxx.21:4443/vdc/truststore
{"certificate":[]}Affected Products
ECS ApplianceArticle Properties
Article Number: 000183654
Article Type: How To
Last Modified: 04 Nov 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.