Powerflex 4.x: Podpisywanie i przesyłanie łańcucha certyfikatów SSL do programu PowerFlex Manager
Summary: Program PowerFlex Manager umożliwia przesłanie tylko jednego certyfikatu w ramach opcji Zaufany certyfikat urzędu certyfikacji. Jeśli masz łańcuch certyfikatów, użyj opcji Zaufany certyfikat SSL, aby przesłać pozostałe certyfikaty. ...
Instructions
Certyfikat SSL urządzenia jest domyślnym certyfikatem interfejsu użytkownika PowerFlex Manager. można go jednak zastąpić certyfikatem podpisanym przez zewnętrzny urząd certyfikacji (CA).
Krok 1.
Przejdź do opcji Settings> Security> Appliance SSL Certificates Generate> Signing Request.
Spowoduje to wygenerowanie ciągu CSR, który należy dodać do certyfikatu niestandardowego.
CSR można wygenerować i przesłać tylko raz. Innymi słowy, po wygenerowaniu CSR można go przesłać tylko raz (za każdym razem generuj>przesyłanie znaku>).
Krok 2.
Plik zawierający żądanie CSR pobrany w kroku 1 należy przesłać do pola SSL Certificate w obszarze Settings > Security > Appliance SSL Certificates > Upload SSL Certificate. Jeśli istnieje tylko jeden certyfikat urzędu certyfikacji, prześlij go, korzystając z opcji Zaufany certyfikat CA , aby przesłać certyfikat. Jeśli istnieje łańcuch certyfikatów, NIE próbuj przesyłać pliku zawierającego je wszystkie lub przesyłać ich jeden po drugim, ponieważ takie pole akceptuje tylko jeden certyfikat. Prześlij certyfikat pośredni, który podpisał certyfikat PowerFlex Manager.
Krok 3. (Jeśli masz łańcuch certyfikatów, które muszą zostać przesłane).
Przesłano pozostałe certyfikaty w łańcuchu jeden po drugim w Ustawienia> Zabezpieczenia> SSL Zaufane certyfikaty> Dodaj
Aby potwierdzić, że plik CSR został przesłany prawidłowo, uruchom to polecenie. Jeśli tls.key i tls.crt ma ten sam rozmiar bajtów, CSR został przesłany poprawnie.
Jeśli tls.key i tls.crt ma inny rozmiar bajtu niż plik CSR, który był używany wcześniej, należy wygenerować nowy plik CSR, aby ponownie podpisać i przesłać certyfikat:
kubectl describe secret -n powerflex default-ingress-tls
Po przesłaniu wszystkich certyfikatów można je znaleźć w zasobniku keycloack w zaufanym magazynie. Certyfikaty można przejrzeć, uruchamiając następujące polecenia z jednego z MVM.
kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' | base64 --decode ; echo)
kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' | base64 --decode ; echo) -v