PowerFlex 3.X: Certyfikat jest tracony podczas aktualizacji przy użyciu OVA z metodą tworzenia kopii zapasowej i przywracania

Aktualizacja do PowerFlex Manager 3.7 przy użyciu nowej OVA z metodą tworzenia kopii zapasowej lub przywracania może spowodować utratę wcześniej wygenerowanych certyfikatów dla LDAP, co prowadzi do problemów z konfiguracją LDAP.

Certyfikaty SSL urządzenia są używane w interfejsie internetowym PowerFlex Manager. Zaufane certyfikaty SSL są używane do bezpiecznej integracji z usługą Active Directory.

PowerFlex Manager > Zarządzanie >urządzeniami wirtualnymiCertyfikaty SSL/zaufane są obecne przed utworzeniem kopii zapasowej programu PowerFlex Manager, ale brakuje ich po przywróceniu do nowo wdrożonych komórek jajowych:
 

Po utworzeniu kopii zapasowej PowerFlex Manager lub przywróceniu do nowo wdrożonej komórki jajowej certyfikaty SSL Trusted Certificates znikną. Po zakończeniu tego procesu certyfikaty SSL urządzenia mogą nie być obecne. 
 

Tworzenie kopii zapasowych/przywracanie certyfikatów SSL i zaufanych certyfikatów urządzenia:

Certyfikaty SSL urządzenia:

1. Zaloguj się do urządzenia PFxM za pomocą SSH i użyj polecenia sudo to root (sudo SU -).
2. Skopiuj następujące pliki do katalogu /home/delladmin/ lub skopiuj je do katalogu /tmp/, dzięki czemu nie trzeba wykonywać kroku 3 w celu uzyskania uprawnień.

   1. /etc/pki/tls/certs/localhost.crt

   2. /etc/pki/tls/private/localhost.key

3. Uruchom następujące polecenie, aby zmienić właściciela plików na delladmin, aby można było je skopiować z urządzenia:

   1. Chown delladmin: delladmin /home/delladmin/localhost.*

4. Skopiuj pliki localhost.crt i localhost.key z urządzenia PFxM na serwer przesiadkowy lub inny system Linux w celu tymczasowego przechowywania.

Po wdrożeniu OVA i przywróceniu kopii zapasowej można wykonać następujące czynności, aby przywrócić certyfikat SSL urządzenia PFxM:

1. Zaloguj się do urządzenia PFxM za pomocą SSH i użyj polecenia sudo to root (sudo SU -).
2. Skopiuj plik .crt i. Przekazanie plików kluczowych z hosta przesuwnego lub lokalizacji plików do nowego urządzenia PFxM w katalogu /home/delladmin/ lub /tmp/
3. Uruchom następujące polecenia, aby dostosować uprawnienia do ich pierwotnego stanu, lub sprawdź je, ponieważ sposób ich skopiowania mógł zachować odpowiednie uprawnienia.  Zawsze możesz uruchomić chown/chmod bez żadnych problemów, niezależnie od tego:

   1. Chown root: root /path/to/files/localhost.*

   2. Chmod 755 /path/to/files/localhost.crt

   3. Chmod 400 /path/to/files/localhost.key

4. Skopiuj pliki do ich domyślnej lokalizacji:

   1. Cp /path/to/files/localhost.crt /etc/pki/tls/certs/

   2. Cp /path/to/files/localhost.key /etc/pki/tls/private/

5. Uruchom ponownie urządzenie PFxM.
6. Po ponownym uruchomieniu sprawdź, czy certyfikat jest wyświetlany prawidłowo w przeglądarce i interfejsie sieciowym urządzenia PFxM w obszarze Ustawienia > Certyfikat > SSL urządzenia zarządzającego urządzeniem wirtualnym

Zaufane certyfikaty SSL: 

1. Z oryginalnej bazy danych cacerts urządzenia PowerFlex Manager 3.6.x skopiuj ją na serwer przesiadkowy lub do dowolnego wybranego miejsca docelowego (można użyć WinSCP lub równoważnej aplikacji): /etc/pki/java/cacerts

2. Skopiuj plik cacerts do nowo wdrożonego urządzenia >> PowerFlex 3.7. Uruchom poniższe polecenie, aby wyświetlić zawartość. Powinno się wyświetlić kilka certyfikatów.

   keytool-list -keystore /etc/pki/ca-trust/extracted/java/cacerts -storepass "changeit"

     

• W tym przykładzie skopiowaliśmy go do katalogu /home/delladmin/cacerts
• Zwróć uwagę, że zawiera on 140 wpisów w tym przykładzie:

3. Uruchom poniższe polecenie, aby sprawdzić, czy certyfikat pfxm jest obecny. W tym przykładzie jest on wyświetlany jako _pfxm_testcert

    keytool-list -keystore /home/delladmin/cacerts -storepass "changeit" |grep -i pfxm 

• Zwróć uwagę na nazwę pliku _pfxm_testcert w tym przykładzie:

4. Eksport certyfikatów z bazy danych kopii zapasowych cacerts

• Alias w tym przykładzie jest to _pfxm_testcert
• Zmianajest to hasło magazynu kluczy
•   Trusted_LDAP_AD.pem to nazwa pliku używana do cert, ale możesz ją nazwać jak chcesz

Keytool -exportcert -rfc -keystore /home/delladmin/cacerts-alias _pfxm_testcert -storepass changeit -file Trusted_LDAP_AD.pem

 

5. Z dowolnego katalogu, z którego to uruchomiłeś, skopiuj plik Trusted_LDAP_AD.pem (lub dowolną nazwę pliku, którą mu nadałeś) na serwer przesiadkowy lub do dowolnego wybranego miejsca docelowego za pomocą WinSCP lub równoważnej aplikacji, na powyższym zrzucie ekranu polecenie zostało uruchomione jako root, więc zapisało plik w katalogu /root/

6. Prześlij plik Trusted_LDAP_AD.pem (lub inną nazwę, której użyłeś) do zaufanych certyfikatów SSL, klikając edytuj w sekcji Zaufane certyfikaty SSL:

7. Przejdź do pliku, który został skopiowany (w tym przykładzie Trusted_LDAP_AD.pem)

8. Po złożeniu wniosku zaufany certyfikat powinien być teraz na miejscu: