Powerflex 4.x：如何对 SSL 证书链进行签名并上传到 PowerFlex Manager

设备 SSL 证书是 PowerFlex Manager用户界面的默认证书;但是，可以将其替换为由外部证书颁发机构 （CA） 签名的证书。

步骤 1。
转至 设置> 安全> 设备SSL 证书> 生成签名请求。
这将生成必须添加到自定义证书的 CSR 字符串。
CSR 只能生成和上传一次。换言之，生成 CSR 后，您只能上传一次（每次都生成>签名>上传）。

步骤 2.

包含在步骤 1 中下载的 CSR 的文件必须上传到设置>安全>设备SSL 证书>上传 SSL 证书下的SSL 证书字段。如果只有一个 CA 证书，请使用 选项受信任的 CA 证书 上传证书。如果存在证书链，请勿尝试上传包含所有证书的文件或逐个上传，因为此类字段只接受一个证书。上传签署 PowerFlex Manager证书的中间证书。

步骤 3.（如果您有必须上传的证书链。）

 已在设置>安全性>SSL可信证书>添加中逐个上传链中的其余证书

要确认 CSR 文件已正确上传，请运行此命令。如果 tls.key和 tls.crt 具有相同的字节大小，则 CSR 已正确上传。

 如果 tls.key和 tls.crt 与之前使用的 CSR 文件具有不同的字节大小，则必须生成新的 CSR 文件才能再次签名和上传证书：

kubectl describe secret -n powerflex default-ingress-tls

上传所有证书后，您可以在 信任库中的 keycloack pod 中找到它们。可以通过从其中一个 MVM 运行以下命令来查看证书。

kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' |  base64 --decode ; echo)

kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' |  base64 --decode ; echo) -v