Bevor Sie die folgenden Schritte ausführen, lesen Sie die Informationen im Abschnitt "Zusätzliche Informationen".
Es gibt zwei Optionen zum Aktualisieren des PTAgent-SSL-Zertifikats:
- Aktualisieren Sie das PTAgent-SSL-Zertifikat mit dem ESXi-SSL-Zertifikat mit dem folgenden WISSENSDATENBANK-Artikel: KB157784.
- Aktualisieren Sie das PTAgent-SSL-Zertifikat mit einem benutzerdefinierten SSL-Zertifikat.
Das angepasste SSL-Zertifikat umfasst die folgenden Dateien:
server.crt (dies sollte eine Serverzertifikatdatei sein)
server.key (dies sollte eine Serverschlüsseldatei sein)
server-chain.crt (dies sollte eine Zertifikatkettendatei sein)
Hinweis: Dies ist ein Beispiel und die Dateinamen können unterschiedlich sein.
Schritte,
- SSH mit dem ESXi-Node mit "root"-Konto.
- Beenden Sie den DellPTAgent-Service mit dem folgenden Befehl:
/etc/init.d/DellPTAgent stop
3. Platzieren Sie alle benutzerdefinierten Zertifikatdateien im Pfad "/opt/dell/DellPTAgent/secure/". Aktualisieren Sie die Dateiberechtigung so, dass sie mit den standardmäßigen PTAgent-SSL-Zertifikaten identisch ist.
Nachfolgend finden Sie ein Beispiel für die STANDARD-SSL-Zertifikatberechtigungen für PTAgent:
[root@c4-esx01:/opt/dell/DellPTAgent/secure] ls -l
total 12
-r-------- 1 root root 424 Apr 7 01:30 pta_dhparm.pem
-r-------- 1 root root 1257 Apr 7 01:30 pta_server.crt
-r-------- 1 root root 1704 Apr 7 01:30 pta_server.key
4. Aktualisieren Sie den Parameter des PTAgent-Zertifikats mit den benutzerdefinierten Zertifikaten in ptAgent.config:
Es gibt zwei Optionen:
- (Nicht empfohlen) Das benutzerdefinierte SSL-Zertifikat ist selbstsigniert. In diesem Fall sollte es keine Zertifikatkettendatei geben. Die PTAgent-Konfigurationsdatei sollte mit den folgenden Werten aktualisiert werden:
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/server.crt,/opt/dell/DellPTAgent/secure/server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
- Der Kunde sendet die CSR zur Signierung an seine Unternehmens- oder externe Zertifizierungsstelle. In diesem Fall sollten drei Dateien (server.crt, server.key, server-chain.crt) oder zwei Dateien (server.crt, server.key) vorhanden sein.
- Wenn drei Dateien vorhanden sind, sollte die Serverzertifikatdatei durch eine Zertifikatskettendatei getrennt werden. Kombinieren Sie sie, um eine neue Serverzertifikatdatei (new_server.crt) zu erhalten.
Hinweis: Das Serverzertifikat sollte sich am Ende der neuen Serverzertifikatdatei befinden.
- Die PTAgent-Konfigurationsdatei sollte mit dem folgenden Wert aktualisiert werden:
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/new_server.crt,/opt/dell/DellPTAgent/secure/server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
- Es gibt zwei Dateien. Die Serverzertifikatdatei sollte alle CA-Zertifikate enthalten, die in einer Zertifikatkettendatei gespeichert werden. Die PTAgent-Konfigurationsdatei sollte mit dem folgenden Wert aktualisiert werden.
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/server.crt,/opt/dell/DellPTAgent/secure/server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
5. Starten Sie den DellPTAgent-Service mit dem folgenden Befehl:
/etc/init.d/DellPTAgent start
6. Überprüfen Sie den PtAgent-Ausführungsstatus mit dem folgenden Befehl:
/etc/init.d/DellPTAgent status
esxcli network ip connection list | grep LISTEN | grep Dell
The expected results should be same with below,
DellPTAgent is running
tcp 0 0 {ESXi_host_ipv4_address}/{ESXi_host_ipv6_address}:8086 0.0.0.0:0 LISTEN 3992948 newreno DellPTAgent
7. Überprüfen Sie, ob das PTAgent-Zertifikat mit dem folgenden Befehl aktualisiert wurde:
openssl s_client -connect {ESXi_host_ipv4_address}/{ESXi_host_ipv6_address}:8086
Hinweis: Die PTAgent-Zertifikate sollten jetzt mit dem benutzerdefinierten SSL-Zertifikat aktualisiert werden. Wenn das Zertifikat nicht aktualisiert wird, wenden Sie sich an das Dell Technologies Supportcenter oder Ihren Servicemitarbeiter, um technischen Support zu erhalten, und geben Sie diese Lösungs-ID an.
8. Wiederholen Sie die Schritte 1 bis 7 für andere Nodes im selben VxRail-Cluster.
Kurze Einführung in die PTAgent-Konfigurationsdatei:
PowerTools Agent-Laufzeitkonfigurationen werden in der Datei mit dem Namen PTAgent.config gespeichert, die sich im Installationsordner befindet.
Konfigurationsparameter sind beim Start schreibgeschützt.
Der PTAgent-Konfigurationsdateipfad auf dem ESXi-Host lautet:
/opt/dell/DellPTAgent/cfg/PTAgent.config
Parameter des PTAgent-Konfigurationszertifikats:
certificate_store_path |
Vollständiger Dateipfad der Zertifikatdateien, die in SSL-Handschütteln mit REST-Clients verwendet werden, durch Kommas getrennt. |
Das Standardbeispiel für ein PTAgent-Zertifikat:
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
[root@c1-esx01:/opt/dell/DellPTAgent/cfg] openssl s_client -connect {ESXi_IPv4|ESXi_IPv6}:8086
CONNECTED(00000003)
depth=0 C = US, ST = Texas, L = Round Rock, O = Dell EMC Inc, OU = Server Storage HCI, CN = dellemc.com
verify error:num=18:self signed certificate
verify return:1
depth=0 C = US, ST = Texas, L = Round Rock, O = Dell EMC Inc, OU = Server Storage HCI, CN = dellemc.com
verify return:1
---
Certificate chain
0 s:/C=US/ST=Texas/L=Round Rock/O=Dell EMC Inc/OU=Server Storage HCI/CN=dellemc.com
i:/C=US/ST=Texas/L=Round Rock/O=Dell EMC Inc/OU=Server Storage HCI/CN=dellemc.com
---