PowerFlex 3.X: Certificaat gaat verloren bij het upgraden met OVA met back-up- en herstelmethode

Upgraden naar PowerFlex Manager 3.7 met behulp van de nieuwe OVA met een back-up- of herstelmethode kan leiden tot het verlies van eerder gegenereerde certificaten voor LDAP, wat leidt tot LDAP-configuratieproblemen.

Apparaat SSL-certificaten worden gebruikt voor de PowerFlex Manager-webinterface. SSL Trusted Certs worden gebruikt voor Secure Active Directory-integratie.

PowerFlex Manager > Beheer >van virtuele apparatenSSL/vertrouwde certificaten zijn aanwezig vóór de PowerFlex Manager-back-up, maar ontbreken na een herstel naar nieuw geïmplementeerde ova:
 

Na een PowerFlex Manager-back-up of -herstel naar nieuw geïmplementeerde ova, zijn SSL Trusted Certificates verdwenen. SSL-certificaten voor apparaten zijn na dit proces mogelijk niet meer aanwezig. 
 

Back-up/herstel van SSL-certificaten en vertrouwde certificaten van apparaten:

SSL-certificaten voor apparaten:

1. Log in op het PFxM apparaat met SSH en sudo om te rooten (sudo SU -)
2. Kopieer de volgende bestanden naar /home/delladmin/ of kopieer ze naar /tmp/op die manier hoeft u stap 3 voor de machtigingen niet uit te voeren.

   1. /etc/pki/tls/certs/localhost.crt

   2. /etc/pki/tls/private/localhost.key

3. Voer de volgende opdracht uit om de eigenaar te wijzigen in delladmin voor de bestanden, zodat u ze van het apparaat kunt kopiëren:

   1. Chown delladmin: delladmin /home/delladmin/localhost.*

4. Kopieer de localhost.crt- en localhost.key-bestanden van het PFxM-apparaat naar de jumpserver of een ander Linux-systeem voor tijdelijke opslag.

Nadat de OVA-implementatie en het terugzetten van de back-up zijn uitgevoerd, kan het volgende worden gedaan om het PFxM Appliance SSL-certificaat te herstellen:

1. Log in op het PFxM apparaat met SSH en sudo om te rooten (sudo SU -)
2. Kopieer de .crt en. Voer bestanden van de jump host of bestandslocatie over naar het nieuwe PFxM-apparaat in /home/delladmin/ of /tmp/
3. Voer de volgende opdrachten uit om de machtigingen in hun oorspronkelijke staat aan te passen, of controleer ze omdat de manier waarop u ze hebt gekopieerd mogelijk de juiste machtigingen heeft behouden.  Je kunt chown/chmod altijd zonder problemen uitvoeren, hoe dan ook:

   1. Chown root: root /path/to/files/localhost.*

   2. Chmod 755 /path/to/files/localhost.crt

   3. Chmod 400 /path/to/files/localhost.key

4. Kopieer de bestanden naar hun standaardlocatie:

   1. Cp /path/to/files/localhost.crt /etc/pki/tls/certs/

   2. Cp /path/to/files/localhost.key /etc/pki/tls/private/

5. Start het PFxM apparaat opnieuw op.
6. Controleer bij het opnieuw opstarten of het certificaat correct wordt weergegeven in de browser en de PFxM-webinterface onder Instellingen > SSL-certificaat voor Virtual Appliance Management > Appliance

SSL Trusted Certificates: 

1. Kopieer van de oorspronkelijke PowerFlex Manager 3.6.x appliance de cacerts-database naar de jumpserver of welke bestemming u ook kiest (u kunt WinSCP of een vergelijkbare applicatie gebruiken): /etc/pki/java/cacerts

2. Kopieer het cacerts-bestand naar het nieuw geïmplementeerde PowerFlex 3.7 apparaat >> Voer de onderstaande opdracht uit om de inhoud weer te geven. Het zou een aantal certificaten moeten weergeven.

   keytool-list -keystore /etc/pki/ca-trust/extracted/java/cacerts -storepass "changeit"

     

• In dit voorbeeld hebben we het gekopieerd naar /home/delladmin/cacerts
• Merk op dat het in dit voorbeeld 140 vermeldingen bevat:

3. Voer de onderstaande opdracht uit om te controleren of het pfxm-certificaat aanwezig is. In dit voorbeeld ziet u het als _pfxm_testcert

    keytool-list -keystore /home/delladmin/cacerts -storepass "changeit" |grep -i pfxm 

• Let op de bestandsnaam _pfxm_testcert in dit voorbeeld:

4. Certificaten exporteren uit de back-updatabase van cacerts

• Alias in dit voorbeeld is het _pfxm_testcert
• Changeit is het keystore-wachtwoord
•   Trusted_LDAP_AD.pem is de bestandsnaam die wordt gebruikt voor CERT, maar u kunt het noemen zoals u wilt

Keytool -exportcert -rfc -keystore /home/delladmin/cacerts-alias _pfxm_testcert -storepass changeit -file Trusted_LDAP_AD.pem

 

5. Vanuit welke directory je dit ook hebt uitgevoerd, kopieer Trusted_LDAP_AD.pem (of welke bestandsnaam je het ook hebt gegeven) naar je jumpserver of welke bestemming je ook kiest met WinSCP of een gelijkwaardige applicatie, in de schermafbeelding hierboven werd de opdracht uitgevoerd als root, dus het bestand werd opgeslagen in /root/

6. Upload Trusted_LDAP_AD.pem (of welke naam u ook hebt gebruikt) naar SSL Trusted Certificates door op bewerken te klikken in het gedeelte SSL Trusted Certificates:

7. Blader naar het bestand dat is gekopieerd (Trusted_LDAP_AD.pem in dit voorbeeld)

8. Na het aanvragen zou er nu een vertrouwd certificaat moeten zijn: