PowerFlex 4.x: Een keten van SSL-certificaten ondertekenen en uploaden naar PowerFlex Manager
Summary: Met PowerFlex Manager kan slechts één certificaat worden geüpload onder de optie Vertrouwd CA-certificaat. Als u een keten van certificaten hebt, gebruikt u de optie SSL Vertrouwd certificaat om de resterende certificaten te uploaden. ...
Instructions
Het SSL-certificaat van het apparaat is het standaardcertificaat voor de gebruikersinterface van PowerFlex Manager. het kan echter worden vervangen door een certificaat dat is ondertekend door een externe certificeringsinstantie (CA).
Stap 1.
Ga naar Instellingen> Beveiligingsapparaat> SSL-certificaten> genereren ondertekeningsverzoek.
Dit genereert de CSR-tekenreeks die moet worden toegevoegd aan een aangepast certificaat.
De CSR kan slechts eenmaal worden gegenereerd en geüpload. Met andere woorden, nadat de CSR is gegenereerd, kunt u deze slechts één keer uploaden (elke keer Generate>Sign>Upload).
Stap 2.
Het bestand dat de CSR bevat die in stap 1 is gedownload, moet worden geüpload naar het veld SSL-certificaat onder Instellingen > SSL-certificaten > van beveiligingsapparaat SSL-certificaat> uploaden. Als er slechts één CA-certificaat is, uploadt u dit met de optie Vertrouwd CA-certificaat om het certificaat te uploaden. Als er sprake is van een keten van certificaten, probeer dan NIET een bestand met alle certificaten te uploaden of ze één voor één te uploaden, aangezien een dergelijk veld slechts één certificaat accepteert. Upload het tussenliggende certificaat waarmee het PowerFlex Manager-certificaat is ondertekend.
Stap 3. (Als u een keten van certificaten hebt, moet die worden geüpload.)
De rest van de certificaten in de keten één voor één geüpload in Instellingen> Beveiliging> SSL vertrouwde certificaten> toevoegen
Voer deze opdracht uit om te controleren of het CSR-bestand correct is geüpload. Als de tls.key en de tls.crt dezelfde bytegrootte heeft, is de CSR correct geüpload.
Als de tls.key en de tls.crt een andere bytegrootte heeft dan het CSR-bestand dat eerder werd gebruikt, moet een nieuw CSR-bestand worden gegenereerd om het certificaat opnieuw te ondertekenen en te uploaden:
kubectl describe secret -n powerflex default-ingress-tls
Zodra alle certificaten zijn geüpload, kun je ze terugvinden in de keycloack pod in de truststore. De certificaten kunnen worden gecontroleerd door de volgende opdrachten uit te voeren vanaf een van de MVM's.
kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' | base64 --decode ; echo)
kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' | base64 --decode ; echo) -v