PowerStore: So ersetzen Sie das selbstsignierte Clustermanagementzertifikat durch ein Zertifikat, das von einer externen Zertifizierungsstelle ausgestellt wurde
Summary: Dieser Artikel enthält schrittweise Anleitungen zum Ersetzen des selbstsignierten Zertifikats von PowerStore, das für das Management verwendet wird, durch ein Zertifikat, das von einer externen Zertifizierungsstelle (CA) ausgestellt wurde. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Hinweis: Im Allgemeinen unterstützt PowerStore keine Drittanbieter-CAs, die das GUI-Zertifikat signieren. Das Browserforum verbietet Zertifizierungsstellen, Zertifikate mit eingeschränkten IP-Adressen im Zertifikat zu signieren, da private IP-Adressen in der eingeschränkten Liste enthalten sind und auch im Zertifikat von PowerStore erforderlich sind, lehnt die Zertifizierungsstelle die Anforderung ab. Die einzige Möglichkeit, ein Zertifikat von einer Drittanbieter-CA signieren zu lassen, besteht darin, öffentliche IPs zu verwenden, die von einem ISP oder IANA für das Managementnetzwerk bereitgestellt werden.
Dieser Artikel bezieht sich auf ein Zertifikat, das von einer privaten Unternehmenszertifizierungsstelle signiert wurde (z. B. mit OpenSSL, Microsoft-Zertifizierungsstelle oder etwas Ähnlichem)
In diesem Artikel wird PowerStoreOS 2.1 behandelt. Neuere Versionen von PowerStore OS finden Sie unter PowerStore: Erstellen und Importieren eines signierten HTTPS-Managementzertifikats
Die anfängliche Unterstützung für das Ersetzen selbstsignierter PowerStore Management-Zertifikate durch externe, von einer Zertifizierungsstelle ausgestellte Zertifikate ist in eingeschränkter Form in PowerStoreOS Version 2.1 enthalten.
Neben der Sicherung des Zugriffs auf die Benutzeroberfläche (UI) über HTTPS hat das Clustermanagementzertifikat noch weitere Verwendungszwecke, z. B. verschiedene interne Kommunikationen usw.
Bei der erstmaligen Einführung der Funktion, die mit PowerStoreOS Version 2.1 bereitgestellt wurde, gelten die folgenden Einschränkungen.
Diese Einschränkungen gelten für PowerStoreOS Version 2.1.x für den Import eines privaten, von einer CA signierten Serverzertifikats. Diese Einschränkungen gelten nicht für PowerStoreOS-Versionen 3.0 oder höher.
- Der Import von Drittanbieterzertifikaten wird nicht unterstützt auf
- Ein Cluster mit mehreren Appliances
- Ein Cluster, der in einer Replikationsbeziehung zu einem anderen Cluster steht
- Cluster mit konfiguriertem SDNAS
- Ein einheitliches System (Datei + Block)
- Das Zurücksetzen auf das ursprüngliche, von der PowerStore-CA signierte Zertifikat wird nicht unterstützt, sobald ein Drittanbieterzertifikat für einen Cluster importiert wurde.
- Es werden keine Warnmeldungen für den Ablauf des Zertifikats erzeugt.
- Das zu importierende Zertifikat sollte mindestens 30 Tage gültig sein.
- Der Import von Drittanbieterzertifikaten wird über die PowerStore Manager-Benutzeroberfläche nicht unterstützt.
- Der Import von Drittanbieterzertifikaten wird nur für den Managementverkehr ( Management_HTTP ) und nicht für andere Services (wie VASA, Replikation usw.) unterstützt.
Wichtig: Lesen Sie diese Einschränkungen und machen Sie sich mit ihnen vertraut, wenn PowerStoreOS 2.1 ausgeführt wird. Fahren Sie NICHT fort, wenn Ihr System in eine der oben aufgeführten Kategorien fällt.
So importieren Sie ein Zertifikat, das von einer externen Zertifizierungsstelle ausgestellt wurde, über die PowerStore Manager-Benutzeroberfläche
Das manuelle CLI-Verfahren sollte nur für Systeme erforderlich sein, auf denen PowerStoreOS Version 2.1 ausgeführt wird.
Verwenden Sie für Systeme mit PowerStoreOS v3 und höher die PowerStore Manager-Benutzeroberfläche, um das Zertifikat zu importieren.
Weitere Informationen finden Sie im PowerStore-Sicherheitskonfigurationsleitfaden.
Fenster Signiertes Clusterzertifikat der Webnutzeroberfläche von PowerStore Manager:
So importieren Sie ein Zertifikat, das von einer externen Zertifizierungsstelle ausgestellt wurde, mithilfe der CLI
Schritt 1: Abrufen der Cluster-IPv4/IPv6-Adresse
Der erste Schritt besteht darin, die Cluster-IPv4/IPv6 (Management)-Adresse abzurufen. Diese IP ist in das aktuelle selbstsignierte Managementzertifikat eingebettet. Dies ist auch dieselbe IP-Adresse, die Sie in Ihren Browser eingeben würden, um eine Verbindung zur PowerStore Manager-Benutzeroberfläche herzustellen.
Schritt 1a
Rufen Sie die Liste aller Zertifikate ab.
$ pstcli -u admin -p <password> -d <cluster_ip> x509_certificate show
# | id | type | service | is_current | is_valid
----+--------------------------------------+--------+------------------+------------+----------
1 | 00907634-b4eb-446a-a381-aae685bae066 | Server | Management_HTTP | yes | yes
2 | 9d0ec275-3688-4ae2-922b-639e1cfb0b88 | Server | VASA_HTTP | yes | yes
3 | c5f03cf7-fe1d-40bd-b6fb-7abba0c6026a | Client | Replication_HTTP | yes | yes
<trimmed for brevity>
Notieren Sie sich das Feld id des Zertifikats mit dem Service Management_HTTP und dem Typ Server.
Schritt 1b
Rufen Sie alle Details des aktuellen selbstsignierten Managementzertifikats ab.
Führen Sie den folgenden Befehl aus und ersetzen Sie id durch den Wert, den Sie in Schritt 1a abgerufen haben.
$ pstcli -u admin -p <password> -d <cluster_ip> x509_certificate -id 00907634-b4eb-446a-a381-aae685bae066 show
id = 00907634-b4eb-446a-a381-aae685bae066
type = Server
type_l10n = Server
service = Management_HTTP
service_l10n = Management_HTTP
is_current = yes
is_valid = yes
members:
subject = CN=Dell EMC PowerStore CA E79NFK8T,O=Dell EMC,ST=MA,C=US
serial_number = 14daac34e1db4711
signature_algorithm = SHA384withRSA
issuer = CN=Dell EMC PowerStore CA E79NFK8T,O=Dell EMC,ST=MA,C=US
valid_from = 11/16/21 23:16:33
valid_to = 10/30/89 23:16:33
public_key_algorithm = RSA
key_length = 4096
thumbprint_algorithm = SHA-256
thumbprint_algorithm_l10n = SHA-256
thumbprint = 279ea39ad7b8d2e0f3695a850a7d302e8318e080e1092fccb314c8f4f19e50a4
certificate = MIIFdDCCA1ygAwIBAgIIFNqsNOHbRxEwDQYJKoZIhvcNAQEMBQAwVzELMAkGA1UEBhMCVVMxCzAJBg
<trimmed for brevity>
Ar4eTY0aBe7R8fnSbg97EFqF+1gGhKlxrOU9AICgZJDh0PDQJRcYLFJBi36Ktt++mtRgpSig8VvypZ
depth = 2
subject_alternative_names =
subject = C=US+O=Dell+L=Hopkinton+OU=PowerStore+ST=Massachusetts+CN=ManagementHTTP.xxxxxxxxxxxx
serial_number = xxxxxxxxxxxxx
signature_algorithm = SHA256withRSA
issuer = CN=Dell EMC PowerStore CA E79NFK8T,O=Dell EMC,ST=MA,C=US
valid_from = 11/16/21 23:56:23
valid_to = 11/15/26 23:56:23
public_key_algorithm = RSA
key_length = 4096
thumbprint_algorithm = SHA-256
thumbprint_algorithm_l10n = SHA-256
thumbprint = eedf2f9c1d0f70f018857110e87cd122f4fa31140e694c30b5ea10398629dbf1
certificate = MIIFejCCA2KgAwIBAgIJANlUDR+8+78qMA0GCSqGSIb3DQEBCwUAMFcxCzAJBgNVBAYTAlVTMQswCQ
<trimmed for brevity>
ZTShTW0BFh3IeAgt23Tlhz+npsJNqbvxXB+8hXqvNWcpzeSluiUalqB3qU9MwCzwHpEkXqagzk8EZM
depth = 1
subject_alternative_names = aaa.bbb.ccc.ddd, 1111:2222:3333:4444:5555:6666:7777:8888
Sie erhalten zwei Zertifikate in der Ausgabe: das interne PowerStore-CA und das Managementzertifikat, das von dieser internen CA signiert wurde.
Das Verwaltungszertifikat weist das Feld depth = 1 auf und das subject_alternative_names Feld wird mit den IPv4- und IPv6-IP-Adressen ausgefüllt.
Wenn Sie IPv4 zum Managen Ihres Clusters verwenden, sollte die IPv4-Clustermanagement-IP als erste IP im Feld subject_alternative_names angezeigt werden (wie im obigen Beispiel – aaa.bbb.ccc.ddd). Wenn Sie IPv6 zum Managen Ihres Clusters verwenden, notieren Sie sich die erste IPv6-Adresse.
HINWEIS: Die zweite IPv6-Adresse im Feld subject_alternative_names ist die ICM-Adresse (Intra-Cluster Management) und wird automatisch ausgefüllt, wenn Sie im nächsten Schritt eine CSR erzeugen. Es besteht keine Notwendigkeit, dies aufzuschreiben.
Schritt 2: Erzeugen einer Zertifikatsignieranforderung (CSR)
So erzeugen Sie eine CSR, die später zur Signierung an eine Zertifizierungsstelle übermittelt wird.
Schritt 2a
Führen Sie den folgenden Befehl aus, um die Hilfe zum Generieren einer CSR zu erstellen und sich mit der Syntax vertraut zu machen:
$ pstcli -u admin -p <password> -d <cluster_ip> help x509_certificate csr
x509_certificate csr -type { Server | Client | CA_Client_Validation | CA_Server_Validation } -service { Management_HTTP | Replication_HTTP | VASA_HTTP | Import_HTTP | LDAP_HTTP | Encrypt_HTTP | Syslog_HTTP } -dns_name <value>,...
-ip_addresses <value>,... -key_length <2048..4096> [ -scope <value> ] [ -common_name <value> ] [ -organizational_unit <value> ] [ -organization <value> ] [ -locality <value> ] [ -state <value> ] [ -country <value> ] [ { -passphrase
<value> | -passphraseSecure } ] [ -async ]
<trimmed for brevity>
Die fett gedruckten Optionen oben sind obligatorisch, alle anderen sind optional. Wenden Sie sich an Ihren CA- oder PKI-Administrator, wenn Ihre Unternehmenszertifikatrichtlinie die Verwendung eines dieser optionalen Felder erfordert.
HINWEIS: Es ist allgemein akzeptiert, FQDN, z. B. powerstore.mycompany.com, in die Felder -common_name oder CN einzugeben.
Schritt 2b
Erzeugen Sie eine CSR mithilfe der oben genannten Richtlinien.
$ pstcli -u admin -p <password> -d <cluster_ip> x509_certificate csr -type Server -service Management_HTTP -dns_name "powerstoreXY.mycompany.com" -ip_addresses aaa.bbb.ccc.ddd -key_length 2048 -scope "External" -common_name "powerstoreXY.mycompany.com"
Die Ausgabe des Befehls gibt eine ID und die CSR in BASE64-Codierung zurück. Zum Beispiel:
1 | 81ea4b51-4b80-4a88-87f1-f0a0ddd1c1fd | Server | Management_HTTP | Management_HTTP | no | no | -----BEGIN CERTIFICATE REQUEST----- MIIDJTCCAg0CAQAwezF5MAkGA1UEBhMCVVMwCwYDVQQKEwREZWxsMBAGA1UEBxMJ <trimmed for brevity> h4t6QVXny+nF25XASq49kuZ8aWA0aTwU8VN5lC0qbSA2Zy6uX8jPmf/ecGNSQzIc 6iDIm76HbL7UKlDecSmr7WiR5hZ9bP/zKxmkNlTN1viqtInGl+zZa6U= -----END CERTIFICATE REQUEST-----
Kopieren Sie die ID, die Sie in der Ausgabe erhalten haben (oben fett formatiert), da sie für spätere Schritte benötigt wird.
Sie müssen auch die CSR formatieren (mithilfe von VIM oder einem beliebigen Texteditor wie Notepad). Die erste Zeile muss -----BEGIN CERTIFICATE REQUEST----- die letzte Zeile mit -----END CERTIFICATE REQUEST----- enden. Es dürfen keine führenden oder enden Leerzeichen vorhanden sein.
Ein Beispiel für eine formatierte CSR:
-----BEGIN CERTIFICATE REQUEST----- MIIDJTCCAg0CAQAwezF5MAkGA1UEBhMCVVMwCwYDVQQKEwREZWxsMBAGA1UEBxMJ SG9wa2ludG9uMBEGA1UECxMKUG93ZXJTdG9yZTAUBgNVBAgTDU1hc3NhY2h1c2V0 <trimmed for brevity> h4t6QVXny+nF25XASq49kuZ8aWA0aTwU8VN5lC0qbSA2Zy6uX8jPmf/ecGNSQzIc 6iDIm76HbL7UKlDecSmr7WiR5hZ9bP/zKxmkNlTN1viqtInGl+zZa6U= -----END CERTIFICATE REQUEST-----
Speichern Sie Ihre CSR in einer Datei mit einem aussagekräftigen Namen. Beispiel: powerstoreXY.csr
Schritt 2c (optional)
Wenn Sie sicher sind, dass Ihre CSR ordnungsgemäß formatiert ist, können Sie diesen Schritt überspringen.
Wenn Sie die Gültigkeit überprüfen möchten, können Sie die OpenSSL-Toolsuite verwenden, um zu bestätigen, dass sie gelesen werden kann und ob die Daten in den Feldern der CSR korrekt aussehen. Wenn Sie beispielsweise die in Schritt 2b angegebenen Werte verwenden, sollten die fett gedruckten Felder in der CSR Folgendes widerspiegeln:
$ openssl req -in powerstoreXY.csr -noout -text
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=US, O=Dell, L=Hopkinton, OU=PowerStore, ST=Massachusetts, CN=powerstoreXY.mycompany.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:af:cd:73:7a:d7:71:03:67:d6:f9:46:9f:aa:68:
<trimmed for brevity>
90:c4:68:44:71:bd:d7:64:65:81:36:90:2e:c2:15:
b8:f5
Exponent: 65537 (0x10001)
Attributes:
Requested Extensions:
X509v3 Subject Alternative Name:
DNS:powerstoreXY.mycompany.com, IP Address:aaa.bbb.ccc.ddd, IP Address:1111:2222:3333:4444:5555:6666:7777:8888
Signature Algorithm: sha256WithRSAEncryption
15:f6:08:8e:ab:f6:07:91:82:ed:45:f0:d9:4d:8c:f5:c6:e3:
<trimmed for brevity
16:7d:6c:ff:f3:2b:19:a4:36:54:cd:d6:f8:aa:b4:89:c6:97:
ec:d9:6b:a5
Wenn alles korrekt ist, fahren Sie mit dem nächsten Schritt fort.
Schritt 3: Übermitteln der CSR zur Signierung an eine private Zertifizierungsstelle
Dieser Schritt variiert je nach Anbieter. Das Ziel besteht darin, Ihre CSR mithilfe der vom Anbieter empfohlenen Verfahren an die ausstellende Zertifizierungsstelle zu senden, um ein signiertes Zertifikat zu erhalten, das als BASE64 codiert ist.
Schritt 3a
Überprüfen Sie, ob das neu ausgestellte Zertifikat BASE64-kodiert ist. Stellen Sie sicher, dass die Datei mit -----BEGIN CERTIFICATE----- beginnt und mit -----END CERTIFICATE----- endet und dazwischen codierte Daten enthält.
$ cat powerstoreXY.cer -----BEGIN CERTIFICATE----- MIIGFjCCA/6gAwIBAgITdAAAAA4SiEpOgIXLggABAAAADjANBgkqhkiG9w0BAQsF <trimmed for brevity> 7NcBrSr0Ach8rC443vrqLSChaTZFt1TtYiSJJT+ZEL2F0/TG9BTXBbHKFTVFXgf9 l9dWpDkH6mq/fhgaMNT/vuMCUtD40fj81DE= -----END CERTIFICATE-----
Schritt 3b
Vergewissern Sie sich, dass das Zertifikat, das Sie erhalten haben, die Werte für die Attribute enthält, die Sie bei der Erstellung der CSR angefordert haben, insbesondere DNS, und IP-Adressen im alternativen Betreffnamen. Abhängig von den Verfahren, die für die Erstellung und Unterzeichnung des Zertifikats durch die Zertifizierungsstelle erforderlich sind, kann das Zertifikat diese enthalten oder nicht.
$ openssl x509 -in powerstoreXY.cer -noout -text
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
74:00:00:00:0e:12:88:4a:4e:80:85:cb:82:00:01:00:00:00:0e
Signature Algorithm: sha256WithRSAEncryption
Issuer: DC=com, DC=mycompany, CN=Issuing CA
Validity
Not Before: Nov 26 16:51:16 2021 GMT
Not After : Nov 26 16:51:16 2023 GMT
Subject: C=US, ST=Massachusetts, L=Hopkinton, O=Dell, OU=PowerStore, CN=powerstoreXY.mycompany.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:af:cd:73:7a:d7:71:03:67:d6:f9:46:9f:aa:68:
<trimmed for brevity>
90:c4:68:44:71:bd:d7:64:65:81:36:90:2e:c2:15:
b8:f5
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Alternative Name:
DNS:powerstoreXY.mycompany.com, IP Address:aaa.bbb.ccc.ddd, IP Address:1111:2222:3333:4444:5555:6666:7777:8888
X509v3 Subject Key Identifier:
1C:19:5D:DF:B4:F0:9F:B7:7B:2B:4A:0E:09:B3:C6:43:3E:CF:4D:4C
X509v3 Authority Key Identifier:
keyid:25:D0:D5:01:27:75:BD:08:FF:E7:FF:02:6C:CE:17:46:86:50:DD:71
X509v3 CRL Distribution Points:
Full Name:
URI:http://pki.mycompany.com/pki/Issuing%20CA.crl
Authority Information Access:
CA Issuers - URI:http://pki.mycompany.com/pki/ca-iss.mycompany.com_Issuing%20CA.crt
1.3.6.1.4.1.311.20.2:
...W.e.b.S.e.r.v.e.r
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication
Signature Algorithm: sha256WithRSAEncryption
99:d9:99:a7:7a:b9:4a:e8:e3:66:ed:56:1f:6f:bc:71:b8:07:
<trimmed for brevity>
97:d7:56:a4:39:07:ea:6a:bf:7e:18:1a:30:d4:ff:be:e3:02:
52:d0:f8:d1:f8:fc:d4:31
Wenn DNS- und IP-Attribute, die Sie in CSR angefordert haben, im alternativen X509v3-Antragstellernamen Ihres Zertifikats (Beispiel oben fett gedruckt) nicht angezeigt werden, wenden Sie sich an Ihren CA-Administrator, um dies zu beheben.
Fahren Sie NICHT fort, bis Sie bestätigt haben, dass die erforderlichen Attribute im Zertifikat vorhanden sind.
Schritt 3c
Dieser Schritt umfasst den Aufbau einer vollständigen Zertifikatkette in einer einzigen BASE64-kodierten Datei, die Ihr PowerStore-Zertifikat plus Zertifikate für jede Zertifizierungsstelle in der Hierarchie enthalten muss, die an der Signierung Ihres Zertifikats beteiligt ist.
So sähe die Verwendung einer hypothetischen Public Key Infrastructure (PKI) aus, die aus den folgenden Entitäten besteht:
Root CA > – ausstellendes CA-Leaf >
Wo
- Stammzertifizierungsstelle – steht an der Spitze der Hierarchie und signiert und stellt nur Zertifikate für die ausstellenden Zertifizierungsstellen aus. Er ist in der Regel nie an der Signierung von Zertifikaten für die Endpunkte beteiligt.
- Issuing CA : Dies ist in der Regel die Frage, was Zertifikate für verschiedene Endpunkte ausstellen würde.
- Leaf : die Endpunkte, z. B. Workstations, Server usw. Ihr PowerStore-System fällt in diese Kategorie.
HINWEIS: Bei der Kombination sollte es entgegengesetzt zu der oben aufgeführten Reihenfolge sein. Beginnen Sie mit dem Blatt oben, dann mit der ausstellenden Zertifizierungsstelle und der Stammzertifizierungsstelle am Ende der Datei. Im Folgenden finden Sie weitere Informationen zum Kombinieren der Zertifikatinformationen.
Je nachdem, wie Ihr PowerStore-Zertifikat ausgestellt wurde, enthält die Datei, die Sie zurückerhalten haben, möglicherweise nur ein einziges Zertifikat für Ihren PowerStore-Endpunkt (leaf) oder sie enthält die gesamte Kette (leaf + issuingCA + rootCA). Sie können in den nächsten Schritten keine Datei in PowerStore importieren, die nur ein einziges Leaf-Zertifikat enthält. Sie müssen eine vollständige Kette (Leaf + issuingCA + rootCA) als eine einzige BASE64-codierte PEM-Datei erstellen, die alle drei (oder mehr, wenn Sie mehr Zertifizierungsstellen in der Kette haben) Zertifikate enthält.
Wenn Sie noch nicht über diese verfügen, müssen Sie BASE64-kodierte Zertifikate für Ihre ausstellende Zertifizierungsstelle und Stammzertifizierungsstelle abrufen und diese mit dem ausgelagerten Zertifikat von PowerStore in einer einzigen PEM-Datei kombinieren:
$ cat powerstoreXY.cer issuingca.cer rootca.cer > combined.pem
Öffnen Sie die Datei combined.pem mit einem Texteditor und entfernen Sie alle endenden oder führenden Leerzeichen und Leerzeilen. Außerdem muss der Text der Zertifikate (Daten zwischen den BEGIN/END CERTIFICATE-Tags) eine einzelne Zeilenzeichenfolge sein.
Die resultierende combined.pem-Datei sollte dem folgenden Beispiel ähneln:
$ cat combined.pem -----BEGIN CERTIFICATE----- MIIGFjCCA/6gAwIBAgITdAAAAkiG9w0BAQs<trimmed for brevity><PowerStore leaf cert>7NcBrSr0Ach8rC443vrqLSChaTZF0fj81DE= -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIGXjCCBEagAwIBDANBgkqhkiG9w0BAQ0F<trimmed for brevity><Issuing CA cert>HU+TePFvwmGruno8fGI4iLyh5kWjnWW2SZVI4wWQ= -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIFCzCCAvOgAwIyoqhkiG9w0BAQ0FAuDAX<trimmed for brevity><Root CA cert>wRh/EXhVd32yvTxupm288LcH3UU3iGHx0tHieAGEkT0= -----END CERTIFICATE-----
Schritt 4: Importieren der signierten Zertifikatkette
In diesem letzten Schritt ersetzen Sie das selbstsignierte PowerStore-Zertifikat, indem Sie die vollständige Kette importieren, die aus Ihrem neu signierten Zertifikat und allen Zertifizierungsstellen besteht. Sie benötigen die Zertifikat-ID, die Sie in Schritt 2b erstellt haben.
Wenn Sie sie nicht aufgeschrieben haben, führen Sie den folgenden Befehl aus, um diese ID erneut abzurufen:
$ pstcli -u admin -p <password> -d <cluster_ip> x509_certificate show # | id | type | service | is_current | is_valid ----+--------------------------------------+--------+------------------+------------+---------- 1 | 81ea4b51-4b80-4a88-87f1-f0a0ddd1c1fd | Server | Management_HTTP | no | no 2 | 00907634-b4eb-446a-a381-aae685bae066 | Server | Management_HTTP | yes | yes 3 | c5f03cf7-fe1d-40bd-b6fb-7abba0c6026a | Client | Replication_HTTP | yes | yes 4 | 9d0ec275-3688-4ae2-922b-639e1cfb0b88 | Server | VASA_HTTP | yes | yes
Beachten Sie, dass das Servicezertifikat Management_HTTP NICHT gültig und NICHT aktuell ist. Im obigen Beispiel benötigen Sie die ID 81ea4b51-4b80-4a88-87f1-f0a0ddd1c1fd.
Führen Sie den folgenden Befehl aus, um die Kette zu importieren:
$ pstcli -u admin -p <password> -d <cluster_id> x509_certificate -id <cert_id> set -is_current true -certificate '<contents_of_the_combined.pem_file>'
HINWEIS: Erforderliche Zeilenumbrüche müssen "\n" lauten.
Zum Beispiel:
pstcli -u admin -d self x509_certificate -id 81ea4b51-4b80-4a88-87f1-f0a0ddd1c1fd set -is_current true -certificate $'-----BEGIN CERTIFICATE-----\n[...Single line PowerStore certificate content...]\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----\n[...Single line CA Certificate certificate content...] \n-----END CERTIFICATE-----'
Alternativ können Sie bei Verwendung einer Linux-Station mit PSTCLI (z. B. SSH auf dem PowerStore) dem BASH-Interpreter mitteilen, dass er alles zwischen den $' ' genau so verwenden soll, wie es ist, einschließlich der Formatierung. In diesem Fall ist es nicht erforderlich, die neue Zeile \n anzuhängen:
pstcli -u admin -d self x509_certificate -id 81ea4b51-4b80-4a88-87f1-f0a0ddd1c1fd set -is_current true -certificate $'-----BEGIN CERTIFICATE-----
MIIGFjCCA/6gAwIBAgITdAAAAA4SiEpOgIXLggABAAAADjANBgkqhkiG9w0BAQsF<trimmed for brevity><PowerStore leaf cert>7NcBrSr0Ach8rC443vrqLSChaTZFt1TtYiSJJT+ZEL2F0/TG9BTXBbHKFTVFXgf9l9dWpDkH6mq/fhgaMNT/vuMCUtD40fj81DE=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIGXjCCBEagAwIBAgITQgAAAARkLTTf7tqFAQAAAAAABDANBgkqhkiG9w0BAQ0F<trimmed for brevity><Issuing CA cert>HU+TePFvwmGruno8o65kK+qWvvYG10PbMbIYxxm/zyofGI4iLyh5kWjnWW2SZVI4wWQ=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIFCzCCAvOgAwIBAgIQad6TNg7Pqa5HsuYzLFAK5jANBgkqhkiG9w0BAQ0FADAX<trimmed for brevity><Root CA cert>wRh/EXhVd32yvTxOdBGBBENLQnD6U6HkA4FO/jVbXR2B793giBmi9w85+B7obgWPSTypIgA+LKG3nE0jf5AW5LnOV+gQDCOsSJlGpm288LcH3UU3iGHx0tHieAGEkT0=
-----END CERTIFICATE-----'
Zu diesem Zeitpunkt sollte das neue Zertifikat installiert und betriebsbereit sein. Sie müssen Ihren Browser schließen und neu starten, um das neue Zertifikat anzuzeigen. Wenn Sie die Verbindung mit PSTCLI wiederherstellen, wird auch eine Warnung angezeigt, dass sich der Fingerabdruck des Zertifikats geändert hat, was darauf hinweist, dass das neue Zertifikat erfolgreich installiert wurde.
Affected Products
PowerStoreArticle Properties
Article Number: 000193886
Article Type: How To
Last Modified: 31 Oct 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.