PowerProtect: Funkcja urzędu certyfikacji (CA) z PPDM

Wymagania wstępne:

1. Wdrożenie najnowszej PPDM OVA (19.17 lub 19.16 poprawka 2)
2. Zakończ instalację interfejsu użytkownika

Uwaga:  Ten przepływ pracy można wykonać tylko na PPDM w konfiguracji dnia 1.

Konfiguracja pierwszego dnia to sytuacja, w której wymiana ICA jest obsługiwana tylko w przypadku nowej instalacji dla wersji R16 poprawki 2 i R17. Po wdrożeniu PPDM OVA i skonfigurowaniu urządzenia: Wymień ICA przed dodaniem źródeł zasobów, zarejestrowaniem agentów aplikacji, wdrożeniem proxy, raportowaniem, wyszukiwaniem itd.
 

Poniższe kroki mogą służyć do zmiany Urzędu certyfikacji (CA)
 
Istnieją trzy opcje wykonywania przepływu pracy wymiany ICA (interfejs użytkownika, interfejs API lub ręcznie). Zaleca się klientom korzystanie z metody interfejsu użytkownika, ponieważ inne metody wymagają specjalistycznej wiedzy. 

UWAGA: Przed rozpoczęciem przepływu pracy wykonaj migawkę maszyny wirtualnej. Jeśli zastępowanie przepływu pracy zakończy się niepowodzeniem, będzie można go cofnąć.

1. Interfejs użytkownika opcji 1
   1. Przygotuj certyfikatyi cakey.pem oraz ica.pem
   2. Przejdź do opcji Administration > Certificates > Internal > Replace Certificates
   3. W formularzu prześlij plik icakey.pem do pola tekstowego Certyfikat prywatny i plik ica.pem do łańcucha certyfikatów publicznych, zaznacz pole wyboru Pośredni urząd certyfikacji i kliknij przycisk Zamień

4. Monitoruj postęp w dzienniku z konsoli CLI, ukończenie powinno zająć ok. 15 minut

tail -f /var/log/brs/secretsmgr/ppdm_certs_regeneration.log

(Uwaga: PPDM jest przełączany w tryb konserwacji podczas wymiany ICA, interfejs użytkownika zostaje uruchomiony ponownie, jednak wymiana nadal trwa, nawet po początkowym włączeniu interfejsu użytkownika, dlatego użytkownik powinien monitorować plik dziennika za pomocą konsoli, aby potwierdzić, że został on ukończony.

Po potwierdzeniu zakończenia zamiany z dziennika odśwież przeglądarkę i potwierdź, że certyfikat został zastąpiony, klikając przycisk "Niezabezpieczony" obok paska adresu, kliknij opcję Certyfikat jest nieprawidłowy, wybierz kartę Szczegóły i potwierdź, że certyfikat jest 4-poziomowy (2 pierwsze poziomy pokazujące główną instytucję certyfikującą "Nazwa firmy", trzeci poziom pokazujący PPDM SSL ICA, podczas gdy ostatni będzie certyfikatem hosta z odpowiednią nazwą hosta PPDM i podpisanym przez PPDM SSL ICA).

Opcja 2 - API

1. API
   1. POST /api/v2/certificates-replacement

      {
          "privateKey": "-----BEGIN RSA PRIVATE KEY-----\nMIIEoQIBAAKCAQEAlM6nRceKg70ZfOQB3lCguOD78Uu7dw1jhhv4gbz54gBPGNvb\n4tR2vVs9uLq0Ugrv/ryhA/mcM9LYIOsAInyb360LoHdDXrtQwjtI76dPycINtQPL\nawhzuwb9A2qQz7yhfb8r+FOdHv++FSfnTMbKjrsU5ED7xL5EH4m3R6QExBxIAbQ+\nhHT78OzYOXJ2f1vq3UfbNDp6JHaWx4X3Mdqxe9aPGpKscvgzgj8sVGkAbVBI1pja\nTnH9Kuu4+N1JYxnMLD/gxQXouQf2GEDSqRriUmjC0AZEDgjccrGrNhB4xpITGt9m\nDLPiWPcsrESbcfswKSqw+l6C+BYNyz4Yu6mjGwIDAQABAoIBAD92MH1AX7DWPR/3\np1pV/W1LOfdKqnzX32lq1V0TKGh7ZEBAR3Lh1G/mERkOuudAVeDINk0ZL0Yktdq4\nDhsnFFzcklhRdJBah1MGcJEQRCVR1oGryB1yAdUx4kaKNI77rc2QcaKamigFvl2M\nYobqQqmDXKIJmrXpxOjEVT8+0m+Fz5KlOYJBLXyPVyxx6+VYfB1ckpZimZduYvhU\nwliDbTR8TDWn3ePu+dxDJ0vn7HAueds7rl4SbHt8MJmG6X33mOddrY3Yb+IY4F8T\nhNPYApBPENmDTs6KZj2J2BH0j+LCorPXWrEZZCz+A6OFebXJVTjxgjk6so6zUoHh\nF2q44nECgYEAynu10x95J16shIS47yvg/WqnmZr+2PpHvrs3H1DG5Hnpx/MvpxWK\nqYVyoDl84E7VTpmOu/i4Xnha6PDjnC6F+QCpq3nnrkCLIoRXx4ifBfElYoTIYu6a\ne8FhKY4DvSILs1+li62EOXbESQHfug6mW0/KIxYEpotJqiqAYHA/OxECgYEAvCMm\n+vtL6cS8GZ6A0d4DJD2VE+Oa+D9M1SgDU8HdQTVxGgdAHAzLZtA02o3/rqIoB6L+\nARmzdbEbledc/KjU/rpfHFV7ZBJ9sTwxJZ8kJHFnyIEGLaQ/2HKNvGSNlqr7aIGZ\naGzOLt9ilxRC/RVk0tmQFKuIE52h+YrKLIdew2sCgYBnVOy8elJUwh7eXfEWtVjT\nWqt/Wzb1OfyFHHuL8qgdjw28KaHG7dpemqidldjhi7mVrA3IZayJIXibadtuJ9vc\n7/ameMbACVY33jwBqvokiSTf+w1cV5Hk2BIip8PGsGoyNvx/pKRWwwJ2k4s+Ix3I\neZaZgzIKYAjO23O6Q24xUQJ/TG37Z/qu3EkQIVhC/P80R4S9C1drnW4ZyH54243m\nVJdhWzGW2c5Y02vCDQei108I9BFDHy9RuH46tqtHG117KgCMovYXKpBYf6f0T1RX\nWna3sry3xdL0HPpsmhw/aPYNLGd56vJI0MHvS3DvxeDrFL1NyxfkMBPZuYaom25j\nEQKBgQCOQfWCVNRLkKU4A0XpSm28mPbE7RBAa2kOaLN+0/+QenS/N52Otm5Xxglh\nxMe6BKsixKyyKvYbIZy6cMTqlekm0QrAzQ1EmSRLjjU3XNFNP3ov1YfuES6lCTCG\nw1lx/S7PcXRdu5pNXUbIQpy6yCGsLh6m1eSTu2bf5WHLA15btw==\n-----END RSA PRIVATE KEY-----",
          "certificateChain": "-----BEGIN CERTIFICATE-----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\n3yMjyIM05mN0Fgs=\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----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\nSoqRj1lIGpyQ5WjeyMFxndJUcAxQhj8=\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----\nMIID6jCCAtKgAwIBAgIQa3trjM5yKrFF9DkQc8L4tTANBgkqhkiG9w0BAQsFADCB\njjELMAkGA1UEBhMCVVMxFDASBgNVBAoTC1dlbGxzIEZhcmdvMSwwKgYDVQQLEyNX\nZWxscyBGYXJnbyBDZXJ0aWZpY2F0aW9uIEF1dGhvcml0eTE7MDkGA1UEAxMyV2Vs\nbHMgRmFyZ28gVUFUIFJvb3QgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkgMDEgRzIw\nHhcNMTIwNzA5MTcyMDQ2WhcNMjgxMjI1MTczMDM0WjCBjjELMAkGA1UEBhMCVVMx\nFDASBgNVBAoTC1dlbGxzIEZhcmdvMSwwKgYDVQQLEyNXZWxscyBGYXJnbyBDZXJ0\naWZpY2F0aW9uIEF1dGhvcml0eTE7MDkGA1UEAxMyV2VsbHMgRmFyZ28gVUFUIFJv\nb3QgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkgMDEgRzIwggEiMA0GCSqGSIb3DQEB\nAQUAA4IBDwAwggEKAoIBAQDRsKnXacptFMAlFMGx/tb99tLsd1upkvHZEW7L8wCk\no74RuPemSceBg7+6CQVbRr+RMRKRpNH7Bj9RWPHcvGrqw6/L0YSAYJ7Dq67ktx7g\nfxkjAj7Chmk0GWTnJtc4DI5auz/Quq7WX09LGxDBSD2a3mEGU6aWmab9phFc8awA\njI0qrIQKuVj6KXaE5GSEQOKQHOJAOexDYL34EKW9dDt02/fmUFemRokk3bKCM1vM\nwBGcKSCBt5+ErRP79a0H3ySRitBw4y9xiZQ+oeU8rLosrWIc09Iu0GrehrGI04ut\nu7nsc/VzbdO2yOlfN2h7EJ8UNmNMu4wmmsBCICZjSe4fAgMBAAGjQjBAMA4GA1Ud\nDwEB/wQEAwIBhjAPBgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBTgCykWYjfg6E5V\nvlTV8FJHtEIf/TANBgkqhkiG9w0BAQsFAAOCAQEAGEsQ069iBxq+e4/FJqAMbY+m\n6xcViFkmtOtJAayV18mBzH4IngzA0OJrXtuv5GtEH25DFq6znqDX1aR0w1Fg7EKd\nlYNPlzRG8HW/m0Kjb2zXq2nAFbS6zOc9FxWcU0jQ2O9fHpV33RSJkYyP9nUm4U2N\nGXCmGJNL+pk6YwugL+VKb0i9IEbr193QasJsY9l++SfGffA9eOIzgIt4fLoXNYnQ\nrTK70DAnIVakHyh/b+WwhACgkKep3mb5D88NlR7vwvgOjTN45DyIy0SAwvbKVEre\nkFSCIa4pzuwJa2h+Z5h9Q3V/1Jaa9MS6kXP9jRZwogFuyt/nvyNur9uu01Yj5A==\n-----END CERTIFICATE-----",
          "ica": true
      }

   2. Monitoruj postęp w dzienniku z konsoli CLI, ukończenie powinno zająć ok. 15 minut

   3. tail -f /zmienna/dziennik/brs/secretsmgr/ppdm_certs_regeneration.log

      W tym przepływie pracy wymiany ICA urządzenie PPDM zostanie przełączone w tryb konserwacji, a w interfejsie użytkownika zostanie wyświetlony komunikat ostrzegawczy. W pewnym momencie interfejs użytkownika uruchamia się ponownie, tracąc komunikat ostrzegawczy. Wymiana jest nadal w toku, nawet po ponownym włączeniu interfejsu użytkownika. Użytkownik powinien monitorować plik dziennika za pomocą konsoli, aby potwierdzić, że został on ukończony.
      
   4. Opcja 3 — ręczne za pośrednictwem konsoli SSH
      1. Ta metoda wymaga narzędzia CMD oraz plików .crt i .key . Skontaktuj się z pomocą techniczną, aby uzyskać dalsze porady dotyczące tej metody