PowerFlex 4.x. Подписание и загрузка цепочки SSL-сертификатов в PowerFlex Manager
Summary: PowerFlex Manager позволяет загрузить только один сертификат в разделе Доверенный сертификат ЦС. Если у вас есть цепочка сертификатов, используйте параметр Доверенный сертификат SSL для загрузки оставшихся сертификатов. ...
Instructions
SSL-сертификат устройства — это сертификат по умолчанию для пользовательского интерфейса PowerFlex Manager. однако его можно заменить сертификатом, подписанным внешним источником сертификатов (CA).
Шаг 1.
Перейдите в раздел Параметры> SSL-сертификаты Security> Appliance Generate Signing Request>.
При этом создается строка CSR, которую необходимо добавить в пользовательский сертификат.
CSR можно создать и загрузить только один раз. Другими словами, после создания CSR его можно загрузить только один раз (каждый раз создавать>загрузку подписи>).
Шаг 2.
Файл, содержащий CSR, скачанный на шаге 1, необходимо загрузить в поле SSL Certificate в разделе Settings >> Security Appliance SSL Certificates> Upload SSL Certificate. Если имеется только один сертификат источника сертификатов, загрузите его с помощью параметра Доверенный сертификат источника сертификатов , чтобы загрузить сертификат. Если имеется цепочка сертификатов, НЕ пытайтесь загрузить файл со всеми сертификатами или загружать их по одному, так как такое поле принимает только один сертификат. Загрузите промежуточный сертификат, которым подписан сертификат PowerFlex Manager.
Шаг 3. (Если у вас есть цепочка сертификатов, которые необходимо загрузить.)
Загрузил остальные сертификаты в цепочке один за другим в Настройки> Безопасность> SSL Доверенные сертификаты Добавить>
Чтобы убедиться, что файл CSR загружен правильно, выполните эту команду. Если tls.key и tls.crt имеет тот же размер байта, CSR был загружен правильно.
Если tls.key и tls.crt имеет размер байта, отличный от ранее использовавшегося файла CSR. Для подписи и повторной загрузки сертификата необходимо создать новый файл CSR:
kubectl describe secret -n powerflex default-ingress-tls
После загрузки всех сертификатов их можно найти в модуле keycloack в хранилище доверенных сертификатов. Сертификаты можно просмотреть, выполнив следующие команды с помощью одного из MVM.
kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' | base64 --decode ; echo)
kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' | base64 --decode ; echo) -v