Powerflex 4.x：如何簽署並上傳 SSL 憑證鏈至 PowerFlex Manager

裝置 SSL 憑證是 PowerFlex Manager 使用者介面的預設憑證;但是，可以將其替換為由外部證書頒發機構 （CA） 簽名的證書。

第 1 步。
前往設定>>安全性裝置 SSL 憑證>會產生簽署要求。
這將生成必須添加到自定義證書的 CSR 字串。
CSR 僅可產生和上傳一次。換言之，生成 CSR 後，您只能上傳一次（每次都生成>簽名>上傳）。

步驟 2

包含步驟 1 中下載的 CSR 的檔案必須上傳至設定>安全性>裝置 SSL 憑證>上傳 SSL 憑證下的 SSL 憑證欄位。如果只有一個 CA 憑證，請使用 受信任的 CA 憑證 選項上傳憑證。如果存在證書鏈，請勿嘗試上傳包含所有證書的檔或逐個上傳，因為此類欄位僅接受一個證書。上傳簽署 PowerFlex Manager 憑證的中繼憑證。

步驟 3（如果您有必須上傳的憑證鏈。）

 將鏈結中的其餘憑證逐一上傳至設定>安全性> SSL 受信任憑證新增>

若要確認 CSR 檔案已正確上傳，請執行此命令。如果 tls.key和 tls.crt 具有相同的位元組大小，則 CSR 已正確上傳。

 如果 tls.key和 tls.crt 具有與之前使用的 CSR 檔案不同的位元組大小，必須產生新的 CSR 檔案才能簽署並再次上傳憑證：

kubectl describe secret -n powerflex default-ingress-tls

上傳所有憑證後，您可以在 信任存放區的 keycloack pod 中找到這些憑證。您可以從其中一個 MVM 執行下列命令，以檢閱憑證。

kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' |  base64 --decode ; echo)

kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' |  base64 --decode ; echo) -v