PowerStore: Itse allekirjoitetun klusterin hallintavarmenteen korvaaminen ulkoisen varmenteen myöntäjän myöntämällä varmenteella
Summary: Tässä artikkelissa on vaiheittaiset ohjeet PowerStoren itse allekirjoitetun varmenteen korvaamiseen, jota käytetään hallintaan, ulkoisen varmenteiden myöntäjän (CA) myöntämällä varmenteella. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Huomautus: PowerStore ei yleensä tue kolmannen osapuolen varmenteiden myöntäjiä, jotka allekirjoittavat graafisen käyttöliittymän varmenteen. Selaimen keskustelupalsta estää varmenteiden myöntäjiä allekirjoittamasta varmenteita, joiden varmenteessa on rajoitettu IP-osoite, koska yksityiset IP-osoitteet sisältyvät rajoitettujen osoitteiden luetteloon ja myös PowerStore vaatii niitä varmenteessa. Ainoa mahdollisuus saada kolmannen osapuolen varmentajan allekirjoittama varmenne olisi käyttää Internet-palveluntarjoajan tai IANA: n tarjoamia julkisia IP-osoitteita hallintaverkolle.
Artikkeli viittaa yksityisen yrityksen varmenteiden myöntäjän allekirjoittamaan varmenteeseen (esimerkiksi OpenSSL:llä, Microsoft CA:lla tai vastaavalla)
Tämä artikkeli kattaa PowerStoreOS 2.1:n. Lisätietoja PowerStore-käyttöjärjestelmän uudemmista versioista on kohdassa PowerStore: Allekirjoitetun HTTPS-hallintavarmenteen luominen ja tuominen
Ensimmäinen tuki PowerStore Managementin itse allekirjoitettujen varmenteiden korvaamiselle ulkoisilla varmenteiden myöntäjän myöntämillä varmenteilla tulee rajoitetussa muodossa PowerStoreOS-versiossa 2.1.
Sen lisäksi, että klusterin hallintavarmenne suojataan käyttöliittymän (UI) avulla HTTPS:llä, sillä on myös muita käyttötarkoituksia, kuten erilaista sisäistä viestintää ja niin edelleen.
Seuraavat rajoitukset ovat voimassa PowerStoreOS 2.1 -version mukana toimitetun ominaisuuden ensimmäisen käyttöönoton aikana.
Nämä rajoitukset koskevat PowerStoreOS-versiota 2.1.x yksityisen varmenteiden myöntäjän varmenneen tuonnissa. Nämä rajoitukset eivät koske PowerStoreOS 3.0:aa tai sitä uudempia versioita.
- Kolmannen osapuolen varmenteiden tuontia ei tueta
- Usean laitteen klusteri
- Klusteri, joka on replikointisuhteessa toisen klusterin kanssa
- Klusteri, johon on määritetty SDNAS
- Yhtenäinen järjestelmä (tiedosto + lohko)
- Alkuperäisen PowerStore CA -allekirjoitusvarmenteen palauttamista ei tueta, kun klusteriin on tuotu kolmannen osapuolen varmenne.
- Varmenteen vanhentumisesta ei ole luotu hälytyksiä.
- Tuotavan todistuksen on oltava voimassa vähintään 30 päivää.
- Kolmannen osapuolen varmenteiden tuontia ei tueta PowerStore Managerin käyttöliittymässä.
- Kolmannen osapuolen varmenteiden tuontia tuetaan vain hallintaliikenteessä ( Management_HTTP ), ei missään muussa palvelussa (kuten VASA, replikointi jne.).
Tärkeää: Tarkista ja ymmärrä nämä rajoitukset täysin, jos käytössä on PowerStoreOS 2.1. ÄLÄ jatka, jos järjestelmäsi kuuluu johonkin yllä luetelluista luokista.
Ulkoisen varmenteiden myöntäjän myöntämän varmenteen tuominen PowerStore Managerin käyttöliittymässä
Manuaalista komentoriviliittymää tulisi vaatia ainoastaan järjestelmissä, joissa on PowerStoreOS 2.1.
Jos järjestelmässä on PowerStoreOS v3 tai uudempi, tuo varmenne PowerStore Managerin käyttöliittymässä.
Lisätietoja on PowerStoren suojauksen määritysoppaassa.
PowerStore Managerin verkkokäyttöliittymän Signed Cluster Certificate -ikkuna:
Ulkoisen varmenteiden myöntäjän myöntämän varmenteen tuominen komentoriviliittymässä
Vaihe 1 – Hae klusterin IPv4-/IPv6-osoite
Ensimmäinen vaihe on klusterin IPv4/IPv6 (hallinta) -osoitteen hakeminen. Tämä IP-osoite sisältyy nykyiseen itse allekirjoitettuun hallintavarmenteeseen. Tämä on myös sama IP-osoite, jonka kirjoittaisit selaimeen muodostaaksesi yhteyden PowerStore Manager -käyttöliittymään.
Vaihe 1a
Hae kaikkien varmenteiden luettelo.
$ pstcli -u admin -p <password> -d <cluster_ip> x509_certificate show
# | id | type | service | is_current | is_valid
----+--------------------------------------+--------+------------------+------------+----------
1 | 00907634-b4eb-446a-a381-aae685bae066 | Server | Management_HTTP | yes | yes
2 | 9d0ec275-3688-4ae2-922b-639e1cfb0b88 | Server | VASA_HTTP | yes | yes
3 | c5f03cf7-fe1d-40bd-b6fb-7abba0c6026a | Client | Replication_HTTP | yes | yes
<trimmed for brevity>
Kirjoita varmenteen tunnuskenttä muistiin, jossa näkyy palvelun Management_HTTP ja tyyppi Server.
Vaihe 1b
Hanki nykyisen itse allekirjoitetun hallintavarmenteen täydelliset tiedot.
Suorita alla oleva komento ja korvaa id vaiheessa 1a hakemallasi arvolla.
$ pstcli -u admin -p <password> -d <cluster_ip> x509_certificate -id 00907634-b4eb-446a-a381-aae685bae066 show
id = 00907634-b4eb-446a-a381-aae685bae066
type = Server
type_l10n = Server
service = Management_HTTP
service_l10n = Management_HTTP
is_current = yes
is_valid = yes
members:
subject = CN=Dell EMC PowerStore CA E79NFK8T,O=Dell EMC,ST=MA,C=US
serial_number = 14daac34e1db4711
signature_algorithm = SHA384withRSA
issuer = CN=Dell EMC PowerStore CA E79NFK8T,O=Dell EMC,ST=MA,C=US
valid_from = 11/16/21 23:16:33
valid_to = 10/30/89 23:16:33
public_key_algorithm = RSA
key_length = 4096
thumbprint_algorithm = SHA-256
thumbprint_algorithm_l10n = SHA-256
thumbprint = 279ea39ad7b8d2e0f3695a850a7d302e8318e080e1092fccb314c8f4f19e50a4
certificate = MIIFdDCCA1ygAwIBAgIIFNqsNOHbRxEwDQYJKoZIhvcNAQEMBQAwVzELMAkGA1UEBhMCVVMxCzAJBg
<trimmed for brevity>
Ar4eTY0aBe7R8fnSbg97EFqF+1gGhKlxrOU9AICgZJDh0PDQJRcYLFJBi36Ktt++mtRgpSig8VvypZ
depth = 2
subject_alternative_names =
subject = C=US+O=Dell+L=Hopkinton+OU=PowerStore+ST=Massachusetts+CN=ManagementHTTP.xxxxxxxxxxxx
serial_number = xxxxxxxxxxxxx
signature_algorithm = SHA256withRSA
issuer = CN=Dell EMC PowerStore CA E79NFK8T,O=Dell EMC,ST=MA,C=US
valid_from = 11/16/21 23:56:23
valid_to = 11/15/26 23:56:23
public_key_algorithm = RSA
key_length = 4096
thumbprint_algorithm = SHA-256
thumbprint_algorithm_l10n = SHA-256
thumbprint = eedf2f9c1d0f70f018857110e87cd122f4fa31140e694c30b5ea10398629dbf1
certificate = MIIFejCCA2KgAwIBAgIJANlUDR+8+78qMA0GCSqGSIb3DQEBCwUAMFcxCzAJBgNVBAYTAlVTMQswCQ
<trimmed for brevity>
ZTShTW0BFh3IeAgt23Tlhz+npsJNqbvxXB+8hXqvNWcpzeSluiUalqB3qU9MwCzwHpEkXqagzk8EZM
depth = 1
subject_alternative_names = aaa.bbb.ccc.ddd, 1111:2222:3333:4444:5555:6666:7777:8888
Tulosteessa on kaksi varmennetta: PowerStoren sisäinen varmenteiden myöntäjä ja kyseisen sisäisen varmenteiden myöntäjän allekirjoittama hallintavarmenne.
Hallintavarmenteessa on syvyys = 1 -kenttä, ja subject_alternative_names-kenttään täytetään IPv4- ja IPv6-IP-osoitteet.
Jos käytät IPv4:ää klusterin hallintaan, IPv4-klusterin hallinnan IP-osoitteen pitäisi näkyä ensimmäisenä subject_alternative_names-kentässä (kuten yllä olevassa esimerkissä - aaa.bbb.ccc.ddd). Jos käytät IPv6:ta klusterin hallintaan, kirjoita ensimmäinen IPv6-osoite muistiin.
HUOMAUTUS: Toinen IPv6-osoite subject_alternative_names-kentässä on klusterin sisäinen hallintaosoite (ICM), ja se täytetään automaattisesti, kun luot CSR:n seuraavassa vaiheessa. Tätä ei tarvitse kirjoittaa muistiin.
Vaihe 2 – Varmenteen allekirjoituspyynnön (CSR) luominen
CSR:n luonti, joka myöhemmin viedään varmenteen myöntäjälle allekirjoitettavaksi.
Vaihe 2a
Suorittamalla seuraavan komennon voit luoda CSR:n ja tutustua sen syntaksiin:
$ pstcli -u admin -p <password> -d <cluster_ip> help x509_certificate csr
x509_certificate csr -type { Server | Client | CA_Client_Validation | CA_Server_Validation } -service { Management_HTTP | Replication_HTTP | VASA_HTTP | Import_HTTP | LDAP_HTTP | Encrypt_HTTP | Syslog_HTTP } -dns_name <value>,...
-ip_addresses <value>,... -key_length <2048..4096> [ -scope <value> ] [ -common_name <value> ] [ -organizational_unit <value> ] [ -organization <value> ] [ -locality <value> ] [ -state <value> ] [ -country <value> ] [ { -passphrase
<value> | -passphraseSecure } ] [ -async ]
<trimmed for brevity>
Yllä olevat lihavoidut vaihtoehdot ovat pakollisia, kaikki muut ovat valinnaisia. Ota yhteyttä CA- tai PKI-järjestelmänvalvojaan, jos yrityksesi varmennekäytäntö edellyttää näiden valinnaisten kenttien käyttöä.
HUOMAUTUS: On ollut yleisesti hyväksytty käytäntö laittaa FQDN, kuten powerstore.mycompany.com, -common_name- tai CN-kenttiin.
Vaihe 2b
Luo CSR yllä olevien ohjeiden mukaisesti.
$ pstcli -u admin -p <password> -d <cluster_ip> x509_certificate csr -type Server -service Management_HTTP -dns_name "powerstoreXY.mycompany.com" -ip_addresses aaa.bbb.ccc.ddd -key_length 2048 -scope "External" -common_name "powerstoreXY.mycompany.com"
Komennon tulos palauttaa tunnuksen ja CSR:n BASE64-koodauksessa. Esimerkki:
1 | 81ea4b51-4b80-4a88-87f1-f0a0ddd1c1fd | Server | Management_HTTP | Management_HTTP | no | no | -----BEGIN CERTIFICATE REQUEST----- MIIDJTCCAg0CAQAwezF5MAkGA1UEBhMCVVMwCwYDVQQKEwREZWxsMBAGA1UEBxMJ <trimmed for brevity> h4t6QVXny+nF25XASq49kuZ8aWA0aTwU8VN5lC0qbSA2Zy6uX8jPmf/ecGNSQzIc 6iDIm76HbL7UKlDecSmr7WiR5hZ9bP/zKxmkNlTN1viqtInGl+zZa6U= -----END CERTIFICATE REQUEST-----
Kopioi tulosteessa saamasi tunnus (lihavoitu yllä), koska sitä tarvitaan myöhemmissä vaiheissa.
Sinun on myös muotoiltava CSR (käyttämällä VIM: ää tai mitä tahansa tekstieditoria, kuten Muistiota). Ensimmäisen rivin on oltava -----BEGIN CERTIFICATE REQUEST----- ja viimeisen rivin on loputtava -----END CERTIFICATE REQUEST-----. Missään ei saa olla johtavia tai loppuvia tiloja.
Esimerkki muotoillusta CSR:stä:
-----BEGIN CERTIFICATE REQUEST----- MIIDJTCCAg0CAQAwezF5MAkGA1UEBhMCVVMwCwYDVQQKEwREZWxsMBAGA1UEBxMJ SG9wa2ludG9uMBEGA1UECxMKUG93ZXJTdG9yZTAUBgNVBAgTDU1hc3NhY2h1c2V0 <trimmed for brevity> h4t6QVXny+nF25XASq49kuZ8aWA0aTwU8VN5lC0qbSA2Zy6uX8jPmf/ecGNSQzIc 6iDIm76HbL7UKlDecSmr7WiR5hZ9bP/zKxmkNlTN1viqtInGl+zZa6U= -----END CERTIFICATE REQUEST-----
Tallenna CSR tiedostoon, jolla on kuvaava nimi. Esimerkiksi: powerstoreXY.csr
Vaihe 2c (valinnainen)
Jos olet varma, että yrityksesi CSR on muotoiltu oikein, voit ohittaa tämän vaiheen.
Jos haluat tarkistaa sen oikeellisuuden, voit käyttää OpenSSL-työkalupakettia varmistaaksesi, että se voidaan lukea ja että CSR: n kentissä olevat tiedot näyttävät oikeilta. Esimerkiksi vaiheessa 2b annettuja arvoja käytettäessä CSR-raportin lihavoitujen kenttien tulisi kuvastaa seuraavaa:
$ openssl req -in powerstoreXY.csr -noout -text
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=US, O=Dell, L=Hopkinton, OU=PowerStore, ST=Massachusetts, CN=powerstoreXY.mycompany.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:af:cd:73:7a:d7:71:03:67:d6:f9:46:9f:aa:68:
<trimmed for brevity>
90:c4:68:44:71:bd:d7:64:65:81:36:90:2e:c2:15:
b8:f5
Exponent: 65537 (0x10001)
Attributes:
Requested Extensions:
X509v3 Subject Alternative Name:
DNS:powerstoreXY.mycompany.com, IP Address:aaa.bbb.ccc.ddd, IP Address:1111:2222:3333:4444:5555:6666:7777:8888
Signature Algorithm: sha256WithRSAEncryption
15:f6:08:8e:ab:f6:07:91:82:ed:45:f0:d9:4d:8c:f5:c6:e3:
<trimmed for brevity
16:7d:6c:ff:f3:2b:19:a4:36:54:cd:d6:f8:aa:b4:89:c6:97:
ec:d9:6b:a5
Jos kaikki näyttää oikealta, siirry seuraavaan vaiheeseen.
Vaihe 3 – CSR:n lähettäminen yksityiselle varmentajalle allekirjoitettavaksi
Tämä vaihe vaihtelee toimittajittain. Tavoitteena on lähettää CSR varmenteen myöntäjälle käyttäen toimittajan suosittelemia menettelytapoja, jotta saat allekirjoitetun varmenteen, joka on koodattu muodossa BASE64.
Vaihe 3a
Varmista, että juuri myönnetty varmenne on BASE64-koodattu. Varmista, että tiedoston alussa on -----BEGIN CERTIFICATE----- päättyy -----END CERTIFICATE----- ja että se sisältää koodattuja tietoja välissä.
$ cat powerstoreXY.cer -----BEGIN CERTIFICATE----- MIIGFjCCA/6gAwIBAgITdAAAAA4SiEpOgIXLggABAAAADjANBgkqhkiG9w0BAQsF <trimmed for brevity> 7NcBrSr0Ach8rC443vrqLSChaTZFt1TtYiSJJT+ZEL2F0/TG9BTXBbHKFTVFXgf9 l9dWpDkH6mq/fhgaMNT/vuMCUtD40fj81DE= -----END CERTIFICATE-----
Vaihe 3b
Varmista, että saamasi varmenne sisältää niiden määritteiden arvot, joita pyysit luodessasi CSR:ää, erityisesti DNS:ää ja IP-osoitteita aiheen vaihtoehtoisessa nimessä. Riippuen menettelyistä, jotka liittyvät varmenteen myöntäjän todistuksen tuottamiseen ja allekirjoittamiseen, todistus voi sisältää tai olla sisältämättä niitä.
$ openssl x509 -in powerstoreXY.cer -noout -text
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
74:00:00:00:0e:12:88:4a:4e:80:85:cb:82:00:01:00:00:00:0e
Signature Algorithm: sha256WithRSAEncryption
Issuer: DC=com, DC=mycompany, CN=Issuing CA
Validity
Not Before: Nov 26 16:51:16 2021 GMT
Not After : Nov 26 16:51:16 2023 GMT
Subject: C=US, ST=Massachusetts, L=Hopkinton, O=Dell, OU=PowerStore, CN=powerstoreXY.mycompany.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:af:cd:73:7a:d7:71:03:67:d6:f9:46:9f:aa:68:
<trimmed for brevity>
90:c4:68:44:71:bd:d7:64:65:81:36:90:2e:c2:15:
b8:f5
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Alternative Name:
DNS:powerstoreXY.mycompany.com, IP Address:aaa.bbb.ccc.ddd, IP Address:1111:2222:3333:4444:5555:6666:7777:8888
X509v3 Subject Key Identifier:
1C:19:5D:DF:B4:F0:9F:B7:7B:2B:4A:0E:09:B3:C6:43:3E:CF:4D:4C
X509v3 Authority Key Identifier:
keyid:25:D0:D5:01:27:75:BD:08:FF:E7:FF:02:6C:CE:17:46:86:50:DD:71
X509v3 CRL Distribution Points:
Full Name:
URI:http://pki.mycompany.com/pki/Issuing%20CA.crl
Authority Information Access:
CA Issuers - URI:http://pki.mycompany.com/pki/ca-iss.mycompany.com_Issuing%20CA.crt
1.3.6.1.4.1.311.20.2:
...W.e.b.S.e.r.v.e.r
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication
Signature Algorithm: sha256WithRSAEncryption
99:d9:99:a7:7a:b9:4a:e8:e3:66:ed:56:1f:6f:bc:71:b8:07:
<trimmed for brevity>
97:d7:56:a4:39:07:ea:6a:bf:7e:18:1a:30:d4:ff:be:e3:02:
52:d0:f8:d1:f8:fc:d4:31
Jos varmenteen X509v3-aiheen vaihtoehtoisessa nimessä (esimerkki lihavoitu yllä) ei näy CSR:ssä pyytämiäsi DNS- ja IP-määritteitä, ota yhteyttä CA-järjestelmänvalvojaan ongelman ratkaisemiseksi.
ÄLÄ jatka, ennen kuin olet varmistanut, että varmenteessa on vaaditut määritteet.
Vaihe 3c
Tässä vaiheessa luodaan täydellinen varmenneketju yhteen BASE64-koodattuun tiedostoon, jossa on oltava PowerStore-varmenne sekä jokaisen varmenteen allekirjoittamiseen liittyvän hierarkian varmenteen myöntäjän varmenne.
Käyttämällä hypoteettista julkisen avaimen infrastruktuuria (PKI), joka koostuu seuraavista yksiköistä:
Juuri varmentaja, > joka myöntää CA-lehden >
Selitykset:
- Juuri CA - on hierarkian ylin ja se allekirjoittaa ja myöntää vain myöntävien varmenteiden myöntäjät. Se ei yleensä koskaan osallistu päätepisteiden varmenteiden allekirjoittamiseen.
- CA: n myöntäminen - tämä on se, mikä tyypillisesti antaisi varmenteita eri päätepisteille.
- Lehti - päätepisteet, kuten työasemat, palvelimet ja niin edelleen. PowerStore-järjestelmäsi kuuluu tähän luokkaan.
HUOMAUTUS: Yhdistettynä sen pitäisi olla vastakkainen edellä luetellussa järjestyksessä. Aloitetaan yläreunassa olevasta Leafista, sitten Issuing CA:sta ja tiedoston lopussa olevasta päämyöntäjästä. Alla on lisätietoja varmennetietojen yhdistämisestä.
PowerStore-varmenteen myöntötavasta riippuen takaisin vastaanottamasi tiedosto voi sisältää vain yhden PowerStore-päätepisteen varmenteen (leaf) tai koko ketjun (leaf + issuingCA + rootCA). Et voi tuoda vain yhden lehtivarmenteen sisältävää tiedostoa PowerStoreen seuraavissa vaiheissa. Sinun on luotava täydellinen ketju (lehti + issuingCA + rootCA) yhtenä BASE64-koodattuna PEM-tiedostona, joka sisältää kaikki kolme (tai enemmän, jos ketjussa on enemmän varmentajia).
Jos sinulla ei vielä ole, sinun on hankittava BASE64-koodatut varmenteet myöntävälle varmenteelle ja päävarmenteelle ja yhdistettävä ne PowerStoren lehtivarmenteeseen yhdeksi PEM-tiedostoksi:
$ cat powerstoreXY.cer issuingca.cer rootca.cer > combined.pem
Avaa combined.PEM-tiedosto tekstieditorilla ja poista kaikki päättyvät tai johtavat välilyönnit ja tyhjät rivit. Lisäksi varmenteiden rungon (BEGIN/LEND-varmennetunnisteiden väliset tiedot) on oltava yksirivinen merkkijono.
Tuloksena olevan combined.pem-tiedoston pitäisi näyttää samanlaiselta kuin alla oleva esimerkki:
$ cat combined.pem -----BEGIN CERTIFICATE----- MIIGFjCCA/6gAwIBAgITdAAAAkiG9w0BAQs<trimmed for brevity><PowerStore leaf cert>7NcBrSr0Ach8rC443vrqLSChaTZF0fj81DE= -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIGXjCCBEagAwIBDANBgkqhkiG9w0BAQ0F<trimmed for brevity><Issuing CA cert>HU+TePFvwmGruno8fGI4iLyh5kWjnWW2SZVI4wWQ= -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIFCzCCAvOgAwIyoqhkiG9w0BAQ0FAuDAX<trimmed for brevity><Root CA cert>wRh/EXhVd32yvTxupm288LcH3UU3iGHx0tHieAGEkT0= -----END CERTIFICATE-----
Vaihe 4 - Allekirjoitetun varmenneketjun tuominen
Tässä viimeisessä vaiheessa korvaat PowerStoren itse allekirjoitetun varmenteen tuomalla koko ketjun, joka koostuu uudesta allekirjoitetusta varmenteesta ja kaikista varmenteiden myöntäjistä. Tarvitset vaiheessa 2b luomasi varmennetunnuksen.
Jos et kirjoittanut tunnusta muistiin, suorita seuraava komento saadaksesi tunnuksen uudelleen:
$ pstcli -u admin -p <password> -d <cluster_ip> x509_certificate show # | id | type | service | is_current | is_valid ----+--------------------------------------+--------+------------------+------------+---------- 1 | 81ea4b51-4b80-4a88-87f1-f0a0ddd1c1fd | Server | Management_HTTP | no | no 2 | 00907634-b4eb-446a-a381-aae685bae066 | Server | Management_HTTP | yes | yes 3 | c5f03cf7-fe1d-40bd-b6fb-7abba0c6026a | Client | Replication_HTTP | yes | yes 4 | 9d0ec275-3688-4ae2-922b-639e1cfb0b88 | Server | VASA_HTTP | yes | yes
Huomioi palveluvarmenne Management_HTTP joka EI ole kelvollinen ja EI ajan tasalla. Yllä olevassa esimerkissä tarvitset tunnuksen 81ea4b51-4b80-4a88-87f1-f0a0ddd1c1fd.
Tuo ketju suorittamalla seuraava komento:
$ pstcli -u admin -p <password> -d <cluster_id> x509_certificate -id <cert_id> set -is_current true -certificate '<contents_of_the_combined.pem_file>'
HUOMAUTUS: Pakollisten rivinvaihtojen on oltava "\n".
Esimerkki:
pstcli -u admin -d self x509_certificate -id 81ea4b51-4b80-4a88-87f1-f0a0ddd1c1fd set -is_current true -certificate $'-----BEGIN CERTIFICATE-----\n[...Single line PowerStore certificate content...]\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----\n[...Single line CA Certificate certificate content...] \n-----END CERTIFICATE-----'
Vaihtoehtoisesti, kun käytät linux-asemaa PSTCLI:n kanssa (kuten SSH PowerStoressa), voit käskeä BASH-tulkkia käyttämään mitä tahansa $' ' -merkin välissä olevaa mitä tahansa sellaisenaan, muotoilu mukaan lukien. Tässä tapauksessa "uutta riviä \n" ei tarvitse lisätä:
pstcli -u admin -d self x509_certificate -id 81ea4b51-4b80-4a88-87f1-f0a0ddd1c1fd set -is_current true -certificate $'-----BEGIN CERTIFICATE-----
MIIGFjCCA/6gAwIBAgITdAAAAA4SiEpOgIXLggABAAAADjANBgkqhkiG9w0BAQsF<trimmed for brevity><PowerStore leaf cert>7NcBrSr0Ach8rC443vrqLSChaTZFt1TtYiSJJT+ZEL2F0/TG9BTXBbHKFTVFXgf9l9dWpDkH6mq/fhgaMNT/vuMCUtD40fj81DE=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIGXjCCBEagAwIBAgITQgAAAARkLTTf7tqFAQAAAAAABDANBgkqhkiG9w0BAQ0F<trimmed for brevity><Issuing CA cert>HU+TePFvwmGruno8o65kK+qWvvYG10PbMbIYxxm/zyofGI4iLyh5kWjnWW2SZVI4wWQ=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIFCzCCAvOgAwIBAgIQad6TNg7Pqa5HsuYzLFAK5jANBgkqhkiG9w0BAQ0FADAX<trimmed for brevity><Root CA cert>wRh/EXhVd32yvTxOdBGBBENLQnD6U6HkA4FO/jVbXR2B793giBmi9w85+B7obgWPSTypIgA+LKG3nE0jf5AW5LnOV+gQDCOsSJlGpm288LcH3UU3iGHx0tHieAGEkT0=
-----END CERTIFICATE-----'
Tässä vaiheessa uuden varmenteen pitäisi olla asennettuna ja toiminnassa. Selain on suljettava ja käynnistettävä uudelleen, jotta näet uuden varmenteen. PSTCLI-yhteyden muodostaminen uudelleen antaa myös varoituksen varmenteen peukalonjäljen muuttumisesta, mikä on merkki uuden varmenteen onnistuneesta asennuksesta.
Affected Products
PowerStoreArticle Properties
Article Number: 000193886
Article Type: How To
Last Modified: 31 Oct 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.