PowerFlex 3.X: El certificado se pierde cuando se actualiza mediante OVA con el método de respaldo y restauración

La actualización a PowerFlex Manager 3.7 mediante el nuevo OVA con un método de respaldo o restauración puede provocar la pérdida de certificados generados anteriormente para LDAP, lo que genera problemas de configuración de LDAP.

Los certificados SSL del dispositivo se utilizan para la interfaz web de PowerFlex Manager. Los certificados de confianza SSL se utilizan para la integración segura de Active Directory.

PowerFlex Manager >Administración de> dispositivos virtuales Los certificados SSL/de confianza están presentes antes del respaldo de PowerFlex Manager, pero faltan después de una restauración a OVA recientemente implementado:
 

Después de un respaldo o una restauración de PowerFlex Manager a un OVA recientemente implementado, los certificados de confianza SSL desaparecen. Es posible que los certificados SSL del dispositivo no estén presentes después de este proceso. 
 

Respaldo/restauración de certificados SSL y certificados de confianza del dispositivo:

Certificados SSL del dispositivo:

1. Inicie sesión en el dispositivo PFxM mediante SSH y use sudo para rootear (sudo SU -)
2. Copie los siguientes archivos en /home/delladmin/ o cópielos en /tmp/; de esa manera, no es necesario realizar el paso 3 para los permisos.

   1. /etc/pki/tls/certs/localhost.crt

   2. /etc/pki/tls/private/localhost.key

3. Ejecute el siguiente comando para cambiar el propietario a delladmin en los archivos, de modo que pueda copiarlos fuera del dispositivo:

   1. Chown delladmin: delladmin /home/delladmin/localhost.*

4. Copie los archivos localhost.crt y localhost.key del dispositivo PFxM en el servidor de activación u otro sistema Linux para el almacenamiento temporal.

Después de realizar la implementación de OVA y la restauración del respaldo, se puede hacer lo siguiente para restaurar el certificado SSL del dispositivo PFxM:

1. Inicie sesión en el dispositivo PFxM mediante SSH y use sudo para rootear (sudo SU -)
2. Copie el archivo .crt y. Archivos clave desde el host de salto o la ubicación del archivo al nuevo dispositivo PFxM en /home/delladmin/ o /tmp/
3. Ejecute los siguientes comandos para ajustar los permisos a su estado original o compruébelos, ya que es posible que la forma en que los copió haya mantenido los permisos correctos.  Siempre puede ejecutar chown/chmod sin problemas, independientemente de:

   1. Chown root: root /path/to/files/localhost.*

   2. Chmod 755 /path/to/files/localhost.crt

   3. Chmod 400 /path/to/files/localhost.key

4. Copie los archivos en su ubicación predeterminada:

   1. Cp /path/to/files/localhost.crt /etc/pki/tls/certs/

   2. Cp /path/to/files/localhost.key /etc/pki/tls/private/

5. Reinicie el dispositivo PFxM.
6. Después del reinicio, compruebe que el certificado se muestre correctamente en el navegador y en la interfaz de usuario web de PFxM en Settings > Virtual Appliance Management > Appliance SSL Certificate

Certificados de confianza SSL: 

1. En el dispositivo PowerFlex Manager 3.6.x original, copie la base de datos cacerts en el servidor de activación o en el destino que elija (puede usar WinSCP o una aplicación equivalente): /etc/pki/java/cacerts

2. Copie el archivo cacerts en el dispositivo >> PowerFlex 3.7 recién implementado y ejecute el siguiente comando para enumerar el contenido; debería mostrar un montón de certificados.

   keytool-list -keystore /etc/pki/ca-trust/extracted/java/cacerts -storepass "changeit"

     

• En este ejemplo, lo copiamos en /home/delladmin/cacerts
• Tenga en cuenta que contiene 140 entradas en este ejemplo:

3. Ejecute el siguiente comando para comprobar que el certificado pfxm esté presente; en este ejemplo, aparece como _pfxm_testcert

    keytool-list -keystore /home/delladmin/cacerts -storepass "changeit" |grep -i pfxm 

• Tome nota del nombre de archivo _pfxm_testcert en este ejemplo:

4. Exportar certificados desde la base de datos de respaldo cacerts

• El alias en este ejemplo es _pfxm_testcert
• Changeit es la contraseña del almacén de claves
•   Trusted_LDAP_AD.pem es el nombre de archivo que se usa para cert, pero puede llamarlo como quiera

Keytool -exportcert -rfc -keystore /home/delladmin/cacerts-alias _pfxm_testcert -storepass changeit -file Trusted_LDAP_AD.pem

 

5. Desde cualquier directorio desde el que ejecutó esto, copie Trusted_LDAP_AD.pem (o cualquier nombre de archivo que le haya dado) en su servidor de salto o en cualquier destino que elija usando WinSCP o una aplicación equivalente, en la captura de pantalla anterior, el comando se ejecutó como root, por lo que guardó el archivo en /root/

6. Cargue Trusted_LDAP_AD.pem (o el nombre que haya utilizado) en Certificados de confianza SSL; para ello, haga clic en Editar en la sección Certificados de confianza SSL:

7. Busque el archivo que se copió (Trusted_LDAP_AD.pem en este ejemplo)

8. Después de aplicar el certificado, ahora debería haber un certificado de confianza en su lugar: