Powerflex 4.x: Slik signerer og laster du opp en kjede med SSL-sertifikater til PowerFlex Manager
Summary: PowerFlex Manager tillater bare at ett sertifikat lastes opp under alternativet Trusted CA Certificate. Hvis du har en kjede av sertifikater, bruk alternativet SSL Trusted Certificate for å laste opp de resterende sertifikatene. ...
Instructions
SSL-sertifikatet for verktøyet er standardsertifikatet for brukergrensesnittet for PowerFlex Manager. Det kan imidlertid erstattes med et sertifikat som er signert av en ekstern sertifiseringsinstans (CA).
Trinn 1.
Gå til Innstillinger> Sikkerhetsapparat> SSL-sertifikater> genererer signeringsforespørsel.
Dette genererer CSR-strengen som må legges til et egendefinert sertifikat.
CSR kan bare genereres og lastes opp én gang. Med andre ord, etter at CSR-en er generert, kan du bare laste den opp én gang (Generer>Sign-opplasting>hver eneste gang).
Trinn 2.
Filen som inneholder CSR-en som ble lastet ned i trinn 1, må lastes opp til SSL-sertifikatfeltet under Innstillinger > Sikkerhetsapparat > SSL-sertifikatopplasting SSL-sertifikat.> Hvis det bare finnes ett CA-sertifikat, laster du det opp ved hjelp av alternativet Klarert CA-sertifikat for å laste opp sertifikatet. Hvis det er en kjede av sertifikater, IKKE prøv å laste opp en fil med dem alle eller laste dem opp en etter en, siden et slikt felt bare godtar ett sertifikat. Last opp det midlertidige sertifikatet som signerte PowerFlex Manager-sertifikatet.
Trinn 3. (Hvis du har en kjede av sertifikater som må lastes opp.)
Lastet opp resten av sertifikatene i kjeden en etter en i Innstillinger> Sikkerhet> SSL klarerte sertifikater> Legg til
For å bekrefte at CSR-filen ble lastet opp riktig, kjør denne kommandoen. Hvis tls.key og tls.crt har samme bytestørrelse, ble CSR lastet opp riktig.
Hvis tls.key og tls.crt har en annen bytestørrelse enn CSR-filen som ble brukt før, må en ny CSR-fil genereres for å signere og laste opp sertifikatet på nytt:
kubectl describe secret -n powerflex default-ingress-tls
Når alle sertifikater er lastet opp, du kan finne dem i keycloack pod i truststore. Sertifikatene kan gjennomgås ved å kjøre følgende kommandoer fra en av MVM-ene.
kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' | base64 --decode ; echo)
kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' | base64 --decode ; echo) -v