PowerFlex 4.x: Cómo firmar y cargar una cadena de certificados SSL en PowerFlex Manager
Summary: PowerFlex Manager solo permite cargar un certificado en la opción Trusted CA Certificate. Si tiene una cadena de certificados, utilice la opción SSL Trusted Certificate para cargar los certificados restantes. ...
Instructions
El certificado SSL del dispositivo es el certificado predeterminado para la interfaz de usuario de PowerFlex Manager; sin embargo, se puede reemplazar por un certificado firmado por una autoridad de certificación (CA) externa.
Paso 1.
Vaya a Configuración> Dispositivo de seguridad> Los certificados SSL generan una solicitud de> firma.
Esto genera la cadena de CSR que se debe agregar a un certificado personalizado.
La CSR solo se puede generar y cargar una vez. En otras palabras, después de que se haya generado la CSR, solo puede cargarla una vez (generar>carga de firma>cada vez).
Paso 2.
El archivo que contiene la CSR descargada en el paso 1 se debe cargar en el campo SSL Certificate en Settings > Security > Appliance SSL Certificates> Upload SSL Certificate. Si solo hay un certificado de CA, cárguelo mediante la opción Certificado de CA de confianza para cargar el certificado. Si hay una cadena de certificados, NO intente cargar un archivo con todos ellos ni cargarlos uno por uno, ya que dicho campo solo acepta un certificado. Cargue el certificado intermedio que firmó el certificado de PowerFlex Manager.
Paso 3. (Si tiene una cadena de certificados que se deben cargar).
Se cargó el resto de los certificados de la cadena, uno por uno, en Settings> Security> SSL Trusted Certificates Add>
Para confirmar que el archivo CSR se cargó correctamente, ejecute este comando. Si la solicitud en tls.key y el tls.crt tiene el mismo tamaño de bytes, la CSR se cargó correctamente.
Si la solicitud en tls.key y el tls.crt tiene un tamaño de bytes diferente del archivo CSR que se utilizó anteriormente, se debe generar un nuevo archivo CSR para firmar y cargar el certificado nuevamente:
kubectl describe secret -n powerflex default-ingress-tls
Una vez que se cargan todos los certificados, puede encontrarlos en el pod keycloack en el almacén de confianza. Los certificados se pueden revisar mediante la ejecución de los siguientes comandos desde uno de los MVM.
kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' | base64 --decode ; echo)
kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' | base64 --decode ; echo) -v