Powerflex 4.x : Signature et téléchargement d’une chaîne de certificats SSL dans PowerFlex Manager

Le certificat SSL de l’appliance est le certificat par défaut de l’interface utilisateur de PowerFlex Manager. Toutefois, il peut être remplacé par un certificat signé par une autorité de certification (CA) externe.

Étape 1.
Accédez à Paramètres> Appliance de sécurité> Certificats SSL Générer une> requête de signature.
Cela génère la chaîne CSR qui doit être ajoutée à un certificat personnalisé.
La CSR ne peut être générée et téléchargée qu’une seule fois. En d’autres termes, une fois que la CSR a été générée, vous ne pouvez la télécharger qu’une seule fois (Generate>Sign>Upload à chaque fois).

Étape 2.

Le fichier qui contient la CSR téléchargée à l’étape 1 doit être chargé dans le champ Certificat SSL sous Paramètres > Sécurité > Appliance Certificats SSL Télécharger un > certificat SSL. S’il n’y a qu’un seul certificat d’autorité de certification, téléchargez-le à l’aide de l’option Certificat d’autorité de certification de confiance . S’il existe une chaîne de certificats, N’ESSAYEZ PAS de télécharger un fichier avec tous les certificats ou de les télécharger un par un, car un tel champ n’accepte qu’un seul certificat. Téléchargez le certificat intermédiaire qui a signé le certificat PowerFlex Manager.

Étape 3. (Si vous disposez d’une chaîne de certificats qui doit être téléchargée.)

 Chargez le reste des certificats de la chaîne un par un dans Paramètres> Sécurité> SSL Certificats> de confiance Ajouter

Pour confirmer que le fichier CSR a été correctement téléchargé, exécutez cette commande. Si la demande tls.key et le tls.crt a la même taille d’octets, la CSR a été téléchargée correctement.

 Si la demande tls.key et le tls.crt a une taille d’octets différente de celle du fichier CSR utilisé auparavant, un nouveau fichier CSR doit être généré pour signer et télécharger à nouveau le certificat :

kubectl describe secret -n powerflex default-ingress-tls

Une fois tous les certificats téléchargés, vous pouvez les trouver dans le pod keycloack du truststore. Les certificats peuvent être vérifiés en exécutant les commandes suivantes à partir de l’un des MVM.

kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' |  base64 --decode ; echo)

kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' |  base64 --decode ; echo) -v