PowerFlex 4.x: Como assinar e carregar uma cadeia de certificados SSL no PowerFlex Manager
Summary: O PowerFlex Manager só permite que um certificado seja carregado na opção Trusted CA Certificate. Se você tiver uma cadeia de certificados, use a opção Certificado confiável SSL para carregar os certificados restantes. ...
Instructions
O certificado SSL do equipamento é o certificado padrão para a interface do usuário do PowerFlex Manager; no entanto, ele pode ser substituído por um certificado assinado por uma autoridade de certificação (CA) externa.
Passo 1.
Acesse Settings> Security> Appliance SSL Certificates> Generate Signing Request.
Isso gera a string CSR que deve ser adicionada a um certificado personalizado.
A CSR só pode ser gerada e carregada uma vez. Em outras palavras, depois que a CSR for gerada, você só poderá carregá-la uma vez (Gerar>upload de sinal>todas as vezes).
Etapa 2.
O arquivo que contém a CSR baixada na etapa 1 deve ser carregado no campo Certificado SSL em Configurações > Equipamento de segurança >Certificados SSL Carregar certificado> SSL. Se houver apenas um certificado de CA, carregue-o usando a opção Certificado de CA confiável para carregar o certificado. Se houver uma cadeia de certificados, NÃO tente carregar um arquivo com todos eles nem carregá-los um por um, pois esse campo só aceita um certificado. Faça upload do certificado intermediário que assinou o certificado do PowerFlex Manager.
Etapa 3. (Se você tiver uma cadeia de certificados que devem ser carregados.)
Carregamento do restante dos certificados na cadeia, um por um, em Configurações> Segurança> SSL Certificados confiáveis> Adicionar
Para confirmar se o arquivo CSR foi carregado corretamente, execute este comando. Se a solicitação do tls.key e o tls.crt tem o mesmo tamanho de byte, a CSR foi carregada corretamente.
Se a solicitação do tls.key e o tls.crt tem um tamanho de byte diferente do arquivo CSR que foi usado anteriormente, um novo arquivo CSR deve ser gerado para assinar e carregar o certificado novamente:
kubectl describe secret -n powerflex default-ingress-tls
Depois que todos os certificados forem carregados, você poderá encontrá-los no pod keycloack no truststore. Os certificados podem ser analisados executando os seguintes comandos de um dos MVMs.
kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' | base64 --decode ; echo)
kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' | base64 --decode ; echo) -v