Før du følger nedenstående trin, skal du læse oplysningerne i afsnittet "Yderligere oplysninger".
Der er to muligheder for at opdatere PTAgent SSL-certifikatet:
- Opdater PTAgent SSL-certifikatet med ESXi SSL-certifikat med nedenstående KB157784.
- Opdater PTAgent SSL-certifikatet med tilpasset SSL-certifikat.
Et tilpasset SSL-certifikat indeholder nedenstående filer:
server.crt (dette skal være servercertifikatfil)
server.key (dette skal være servernøglefil)
server-chain.crt (dette skal være certifikatkædefilen)
Bemærk: Dette er et eksempel, og filnavnene kan være forskellige.
Trin,
- SSH til ESXi-noden med "root"-konto.
- Stop DellPTAgent-tjenesten med nedenstående kommando:
/etc/init.d/DellPTAgent stop
3. Placer alle tilpassede certifikatfiler i stien "/opt/dell/DellPTAgent/secure/". Opdater filernes tilladelse til at være den samme med PTAgent SSL-standardcertifikater.
Nedenfor er et eksempel på PTAgent-standard-SSL-certifikattilladelserne:
[root@c4-esx01:/opt/dell/DellPTAgent/secure] ls -l
total 12
-r-------- 1 root root 424 Apr 7 01:30 pta_dhparm.pem
-r-------- 1 root root 1257 Apr 7 01:30 pta_server.crt
-r-------- 1 root root 1704 Apr 7 01:30 pta_server.key
4. Opdater PTAgent-certifikatparameteren med de brugerdefinerede certifikater i PTAgent.config:
Der er to muligheder:
- (Anbefales ikke) Det brugerdefinerede SSL-certifikat er selvsigneret. I denne situation må der ikke være en certifikatkædefil. PTAgent-konfigurationsfilen skal opdateres med nedenstående værdier,
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/server.crt,/opt/dell/DellPTAgent/secure/server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
- Kunden sender CSR til vedkommendes virksomhed eller eksterne nøglecenter til signering. I denne situation skal der være tre filer (server.crt, server.key, server-chain.crt) eller to filer (server.crt, server.key).
- Hvis der er tre filer, skal servercertifikatfilen adskilles med en certifikatkædefil. Kombiner dem sammen for at få en ny servercertifikatfil (new_server.crt).
Bemærk: Servercertifikatet skal være sidst i den nye servercertifikatfil.
- PTAgent-konfigurationsfilen skal opdateres med nedenstående værdi,
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/new_server.crt,/opt/dell/DellPTAgent/secure/server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
- Der er to filer. Servercertifikatfilen skal inkludere alle CA-certifikater, som lagres i en certifikatkædefil. PTAgent-konfigurationsfilen skal opdateres med nedenstående værdi.
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/server.crt,/opt/dell/DellPTAgent/secure/server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
5. Start DellPTAgent-tjenesten med nedenstående kommando:
/etc/init.d/DellPTAgent start
6. Kontroller PTAgent'ens kørende status med nedenstående kommando:
/etc/init.d/DellPTAgent status
esxcli network ip connection list | grep LISTEN | grep Dell
The expected results should be same with below,
DellPTAgent is running
tcp 0 0 {ESXi_host_ipv4_address}/{ESXi_host_ipv6_address}:8086 0.0.0.0:0 LISTEN 3992948 newreno DellPTAgent
7. Kontroller, at PTAgent-certifikatet er opdateret med nedenstående kommando:
openssl s_client -connect {ESXi_host_ipv4_address}/{ESXi_host_ipv6_address}:8086
Bemærk: PTAgent-certifikaterne bør nu opdateres med det brugerdefinerede SSL-certifikat. Hvis certifikatet ikke er opdateret, skal du kontakte Dell Technologies Support Center eller din servicerepræsentant for teknisk support og oplyse dette løsnings-id.
8. Gentag trin 1 ~ trin 7 for andre noder i samme VxRail-klynge.
Introduktion til PTAgent-konfigurationsfil:
PowerTools agent run-time-konfigurationer gemmes i den fil, der hedder PTAgent.config, som findes i installationsmappen.
Konfigurationsparametrene er skrivebeskyttede ved opstart.
PTAgent-konfigurationsfilstien på ESXi-værten er:
/opt/dell/DellPTAgent/cfg/PTAgent.config
PTAgent-konfigurationscertifikatparameter:
| certificate_store_path |
Komplet filsti til certifikatfiler, der bruges i SSL-hånds ryst med REST-klienter, kommasepareret. |
Eksempel på STANDARD PTAgent-certifikat:
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
[root@c1-esx01:/opt/dell/DellPTAgent/cfg] openssl s_client -connect {ESXi_IPv4|ESXi_IPv6}:8086
CONNECTED(00000003)
depth=0 C = US, ST = Texas, L = Round Rock, O = Dell EMC Inc, OU = Server Storage HCI, CN = dellemc.com
verify error:num=18:self signed certificate
verify return:1
depth=0 C = US, ST = Texas, L = Round Rock, O = Dell EMC Inc, OU = Server Storage HCI, CN = dellemc.com
verify return:1
---
Certificate chain
0 s:/C=US/ST=Texas/L=Round Rock/O=Dell EMC Inc/OU=Server Storage HCI/CN=dellemc.com
i:/C=US/ST=Texas/L=Round Rock/O=Dell EMC Inc/OU=Server Storage HCI/CN=dellemc.com
---