Powerflex 4.x: Sådan signerer og uploader du en kæde af SSL-certifikater til PowerFlex Manager
Summary: PowerFlex Manager tillader kun, at ét certifikat uploades under indstillingen Trusted CA Certificate. Hvis du har en kæde af certifikater, skal du bruge indstillingen SSL Trusted Certificate til at uploade de resterende certifikater. ...
Instructions
Appliance SSL-certifikatet er standardcertifikatet for PowerFlex Manager-brugergrænsefladen; Det kan dog erstattes med et certifikat, der er signeret af et eksternt nøglecenter.
Trin 1.
Gå til Indstillinger>> Sikkerhedsapparat SSL-certifikater> Generer signeringsanmodning.
Dette genererer CSR-strengen, der skal føjes til et brugerdefineret certifikat.
CSR kan kun genereres og uploades én gang. Med andre ord, efter CSR er genereret, kan du kun uploade den én gang (Generate>Sign>Upload hver eneste gang).
Trin 2.
Filen, der indeholder CSR, der blev downloadet i trin 1, skal uploades til feltet SSL-certifikat under Indstillinger > Sikkerhedsapparat > SSL-certifikater > Upload SSL-certifikat. Hvis der kun er ét CA-certifikat, skal du uploade det ved hjælp af indstillingen Trusted CA Certificate for at uploade certifikatet. Hvis der er en kæde af certifikater, skal du IKKE forsøge at uploade en fil med dem alle eller uploade dem en efter en, da et sådant felt kun accepterer et certifikat. Overfør det mellemliggende certifikat, der signerede PowerFlex Manager-certifikatet.
Trin 3. (Hvis du har en kæde af certifikater, der skal uploades).
Uploadede resten af certifikaterne i kæden en efter en i Indstillinger Sikkerhed>> SSL Pålidelige certifikater> Tilføj
Kør denne kommando for at bekræfte, at CSR-filen blev uploadet korrekt. Hvis ikonet tls.key og tls.crt har samme bytestørrelse, blev CSR uploadet korrekt.
Hvis ikonet tls.key og tls.crt har en anden bytestørrelse end den CSR-fil, der blev brugt før, skal der genereres en ny CSR-fil for at signere og uploade certifikatet igen:
kubectl describe secret -n powerflex default-ingress-tls
Når alle certifikater er uploadet, kan du finde dem i keycloack pod i truststore. Certifikaterne kan gennemses ved at køre følgende kommandoer fra en af MVM'erne.
kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' | base64 --decode ; echo)
kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' | base64 --decode ; echo) -v