Powerflex 4.x: Як підписати та завантажити ланцюжок SSL-сертифікатів у PowerFlex Manager
Summary: PowerFlex Manager дозволяє завантажувати лише один сертифікат під параметром «Сертифікат довіреного ЦС». Якщо у вас є ланцюжок сертифікатів, скористайтеся опцією SSL Trusted Certificate, щоб завантажити решту сертифікатів. ...
Instructions
Сертифікат SSL пристрою є сертифікатом за замовчуванням для інтерфейсу користувача PowerFlex Manager; однак його можна замінити сертифікатом, підписаним зовнішнім центром сертифікації (CA).
Крок 1.
Перейдіть до налаштувань> SSL-сертифікати Security> Appliance> Generate Sign Request.
Це генерує рядок CSR, який потрібно додати до настроюваного сертифіката.
Файл CSR можна згенерувати та завантажити лише один раз. Іншими словами, після того, як CSR було згенеровано, ви можете завантажити його лише один раз (Generate>Sign>Upload every single once).
Крок 2.
Файл із файлом CSR, завантаженим на кроці 1, має бути завантажений у поле «Сертифікат SSL» у розділі «Налаштування», >> «SSL-сертифікати», > «Сертифікат SSL». Якщо є лише один сертифікат ЦС, завантажте його за допомогою опції Сертифікат довіреного центру сертифікації , щоб завантажити сертифікат. Якщо є ланцюжок сертифікатів, НЕ намагайтеся завантажити файл з усіма ними або завантажувати їх по одному, оскільки таке поле приймає лише один сертифікат. Завантажте проміжний сертифікат, який підписав сертифікат PowerFlex Manager.
Крок 3. (Якщо у вас є ланцюжок сертифікатів, які потрібно завантажити.)
Завантажив решту сертифікатів у ланцюжку по черзі в Налаштуваннях> Безпека> SSL Довірені сертифікати> Додати
Щоб переконатися, що CSR-файл завантажено правильно, виконайте цю команду. Якщо tls.key і tls.crt має однаковий розмір байта, CSR був завантажений коректно.
Якщо tls.key і tls.crt має розмір байта, відмінний від CSR-файлу, який використовувався раніше, для підписання та повторного завантаження сертифіката необхідно згенерувати новий CSR-файл:
kubectl describe secret -n powerflex default-ingress-tls
Після того, як усі сертифікати буде завантажено, ви зможете знайти їх у модулі keycloack у сховищі довіри. Сертифікати можна переглянути, виконавши наведені нижче команди з одного з MVM.
kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' | base64 --decode ; echo)
kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' | base64 --decode ; echo) -v