PowerFlex 4.x: SSL証明書のチェーンに署名してPowerFlex Managerにアップロードする方法

アプライアンスSSL証明書は、PowerFlex Managerユーザー インターフェイスのデフォルトの証明書です。ただし、外部認証局(CA)によって署名された証明書に置き換えることができます。

ステップ1.
[Settings] > Security> Appliance SSL Certificates> Generate Signing Request.
に移動します。これにより、カスタム証明書に追加する必要があるCSR文字列が生成されます。
CSRを生成してアップロードできるのは1回のみです。つまり、CSRが生成された後にアップロードできるのは1回だけです(毎回生成>署名>アップロード)。

手順 2.

手順1でダウンロードしたCSRを含むファイルは、設定>セキュリティ>アプライアンスのSSL証明書>SSL証明書のアップロードの下にあるSSL証明書フィールドにアップロードする必要があります。CA証明書が1つしかない場合は、 信頼できるCA証明書 オプションを使用してアップロードし、証明書をアップロードします。証明書のチェーンがある場合は、すべての証明書を含むファイルをアップロードしたり、1つずつアップロードしたりしないでください。このようなフィールドでは証明書を1つしか受け付けないためです。PowerFlex Manager証明書に署名した中間証明書をアップロードします。

手順 3.(アップロードする必要がある証明書のチェーンがある場合)。

 [設定]>セキュリティ>信頼できるSSL証明書でチェーン内の残りの証明書を1つずつアップロードしました>追加

CSRファイルが正しくアップロードされたことを確認するには、次のコマンドを実行します。ここで、 tls.keyと tls.crt が同じバイト サイズの場合、CSRは正しくアップロードされました。

 ここで、 tls.keyと tls.crt 以前に使用されたCSRファイルのバイト サイズが異なる場合は、新しいCSRファイルを生成して証明書に署名し、再度アップロードする必要があります。

kubectl describe secret -n powerflex default-ingress-tls

すべての証明書がアップロードされると、 トラストストアのkeycloakポッドで見つけることができます。証明書は、MVM の 1 つから次のコマンドを実行して確認できます。

kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' |  base64 --decode ; echo)

kubectl exec -n powerflex keycloak-0 --keytoll -list -keystore /opt/keycloak/certs/trustore..jks -storepass $(kubectl -n powerflex get secret keycloak-store-credential -o jsonpath='{.data.storepass}' |  base64 --decode ; echo) -v