Powerflex 4.x: Signera och överföra en kedja av SSL-certifikat till PowerFlex Manager
Summary: PowerFlex Manager tillåter endast att ett certifikat överförs under alternativet Betrodd CA-certifikat. Om du har en kedja av certifikat använder du alternativet SSL Trusted Certificate för att ladda upp de återstående certifikaten. ...
Instructions
Enhetens SSL-certifikat är standardcertifikatet för PowerFlex Manager-användargränssnittet. Det kan dock ersättas med ett certifikat signerat av en extern certifikatutfärdare (CA).
Steg 1.
Gå till Inställningar> Säkerhetsenhet> SSL-certifikat> genererar signeringsbegäran.
Detta genererar CSR-strängen som måste läggas till i ett anpassat certifikat.
CSR kan endast genereras och laddas upp en gång. Med andra ord, efter att CSR har genererats kan du bara ladda upp den en gång (Generate>Sign>Upload varje gång).
Steg 2.
Filen som innehåller CSR som laddades ned i steg 1 måste laddas upp till fältet SSL-certifikat under Inställningar > Säkerhetsinstallation > SSL-certifikat > Ladda upp SSL-certifikat. Om det bara finns ett CA-certifikat laddar du upp det med alternativet Betrott CA-certifikat för att ladda upp certifikatet. Om det finns en kedja av certifikat ska du INTE försöka ladda upp en fil med alla eller ladda upp dem ett i taget, eftersom ett sådant fält bara accepterar ett certifikat. Ladda upp det mellanliggande certifikatet som signerade PowerFlex Manager-certifikatet.
Steg 3. (Om du har en kedja av certifikat som måste laddas upp.)
Resten av certifikaten i kedjan laddades upp ett i taget i Inställningar Säkerhet>> SSL Betrodda certifikat> Lägg till
Kör det här kommandot för att bekräfta att CSR-filen har laddats upp korrekt. Om den tls.key och tls.crt har samma bytestorlek har CSR laddats upp korrekt.
Om den tls.key och tls.crt har en annan bytestorlek än CSR-filen som användes tidigare, måste en ny CSR-fil genereras för att signera och ladda upp certifikatet igen:
kubectl describe secret -n powerflex default-ingress-tls
När alla certifikat har laddats upp hittar du dem i keycloack-podden i truststore. Certifikaten kan granskas genom att köra följande kommandon från en av MVM:erna.
kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' | base64 --decode ; echo)
kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' | base64 --decode ; echo) -v