PowerFlex 4.x: SSL 인증서 체인에 서명하고 PowerFlex Manager에 업로드하는 방법

Appliance SSL Certificate는 PowerFlex Manager 사용자 인터페이스의 기본 인증서입니다. 그러나 외부 CA(Certificate Authority)에서 서명한 인증서로 교체할 수 있습니다.

1 단계.
SettingsSecurity>> Appliance SSL Certificates> Generate Signing Request로 이동합니다.
이렇게 하면 사용자 지정 인증서에 추가해야 하는 CSR 문자열이 생성됩니다.
CSR은 한 번만 생성하고 업로드할 수 있습니다. 즉, CSR이 생성된 후에는 한 번만 업로드할 수 있습니다(매번 부호>업로드 생성>).

2단계.

1단계에서 다운로드한 CSR이 포함된 파일은 SettingsSecurity Appliance SSL CertificatesUpload> SSL Certificate의 SSL Certificate 필드에 업로드해야 합니다.>> CA 인증서가 하나만 있는 경우 신뢰할 수 있는 CA 인증서 옵션을 사용하여 인증서를 업로드합니다. 인증서 체인이 있는 경우 모든 인증서가 포함된 파일을 업로드하거나 하나씩 업로드하지 마십시오. 이러한 필드에는 하나의 인증서만 허용됩니다. PowerFlex Manager 인증서에 서명한 중간 인증서를 업로드합니다.

3단계. (업로드해야 하는 인증서 체인이 있는 경우)

 설정>보안>SSL 신뢰할 수 있는 인증서> 추가에서 체인의 나머지 인증서를 하나씩 업로드했습니다.

CSR 파일이 올바르게 업로드되었는지 확인하려면 다음 명령을 실행합니다. 만일 tls.key 및 tls.crt 의 바이트 크기가 동일한 경우 CSR이 올바르게 업로드되었습니다.

 만일 tls.key 및 tls.crt 이전에 사용된 CSR 파일과 바이트 크기가 다른 경우 인증서에 서명하고 인증서를 다시 업로드하려면 새 CSR 파일을 생성해야 합니다.

kubectl describe secret -n powerflex default-ingress-tls

모든 인증서가 업로드되면 truststore의 keycloack Pod에서 해당 인증서를 찾을 수 있습니다. MVM 중 하나에서 다음 명령을 실행하여 인증서를 검토할 수 있습니다.

kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' |  base64 --decode ; echo)

kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' |  base64 --decode ; echo) -v