아래 단계를 따라가기 전에 '추가 정보' 섹션의 정보를 읽어보십시오.
PTAgent SSL 인증서를 업데이트하는 두 가지 옵션이 있습니다.
- PTAgent SSL 인증서를 ESXi SSL 인증서를 KB157784 미만으로 업데이트합니다.
- 맞춤 구성된 SSL 인증서로 PTAgent SSL 인증서를 업데이트합니다.
사용자 지정 SSL 인증서에는 아래 파일이 포함되어 있습니다.
server.crt (서버 인증서 파일이어야 합니다)
server.key (서버 키 파일이어야 합니다)
server-chain.crt (인증서 체인 파일이어야 합니다).
참고: 이 예는 파일 이름이 다를 수 있습니다.
단계,
- 'root' 계정을 사용하여 ESXi 노드로 SSH를 수행합니다.
- 아래 명령을 통해 DellPTAgent 서비스를 중지합니다.
/etc/init.d/DellPTAgent stop
3. 사용자 지정 인증서 파일을 모두 '/opt/dell/Dell/DellPTAgent/secure/' 경로에 배치합니다. 기본 PTAgent SSL 인증서에서 파일 사용 권한을 동일하게 업데이트합니다.
다음은 PTAgent 기본 SSL 인증서 사용 권한의 예입니다.
[root@c4-esx01:/opt/dell/DellPTAgent/secure] ls -l
total 12
-r-------- 1 root root 424 Apr 7 01:30 pta_dhparm.pem
-r-------- 1 root root 1257 Apr 7 01:30 pta_server.crt
-r-------- 1 root root 1704 Apr 7 01:30 pta_server.key
4. PTAgent 인증서 매개변수를 PTAgent.config의 사용자 지정 인증서로 업데이트합니다.
두 가지 옵션이 있습니다.
- (권장하지 않음) 사용자 지정 SSL 인증서가 자체 서명됩니다. 이 경우 인증서 체인 파일이 없어야 합니다. PTAgent 구성 파일은 아래 값으로 업데이트해야 합니다.
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/server.crt,/opt/dell/DellPTAgent/secure/server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
- 고객이 서명을 위해 CSR을 엔터프라이즈 또는 외부 CA로 보냅니다. 이 경우 3개의 파일(server.crt, server.key, server-chain.crt) 또는 2개의 파일(server.crt, server.key)이 있어야 합니다.
- 3개의 파일이 있는 경우 서버 인증서 파일을 인증서 체인 파일로 구분해야 합니다. 이를 함께 결합하여 새 서버 인증서 파일(new_server.crt)을 가져옵니다.
참고: 서버 인증서는 새 서버 인증서 파일의 끝에 있어야 합니다.
- PTAgent 구성 파일은 아래 값으로 업데이트해야 합니다.
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/new_server.crt,/opt/dell/DellPTAgent/secure/server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
- 두 개의 파일이 있습니다. 서버 인증서 파일에는 인증서 체인 파일에 저장되는 모든 CA 인증서가 포함되어야 합니다. PTAgent 구성 파일은 아래 값으로 업데이트해야 합니다.
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/server.crt,/opt/dell/DellPTAgent/secure/server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
5. 아래 명령으로 DellPTAgent 서비스를 시작합니다.
/etc/init.d/DellPTAgent start
6. 아래 명령을 통해 PTAgent 실행 상태를 확인합니다.
/etc/init.d/DellPTAgent status
esxcli network ip connection list | grep LISTEN | grep Dell
The expected results should be same with below,
DellPTAgent is running
tcp 0 0 {ESXi_host_ipv4_address}/{ESXi_host_ipv6_address}:8086 0.0.0.0:0 LISTEN 3992948 newreno DellPTAgent
7. PTAgent 인증서가 아래 명령으로 업데이트되었는지 확인합니다.
openssl s_client -connect {ESXi_host_ipv4_address}/{ESXi_host_ipv6_address}:8086
참고: 이제 맞춤형 SSL 인증서로 PTAgent 인증서를 업데이트해야 합니다. 인증서가 업데이트되지 않은 경우 Dell Technologies 지원 센터 또는 서비스 담당자에게 문의하여 기술 지원을 받고 이 솔루션 ID를 쿼트하십시오.
8. 동일한 VxRail 클러스터의 다른 노드에 대해 1~7단계를 반복합니다.
PTAgent 구성 파일 개요 소개:
PowerTools 에이전트 런타임 구성은 설치 폴더에 있는 PTAgent.config라는 파일에 저장됩니다.
구성 매개변수는 시작 시 읽기 전용입니다.
ESXi 호스트의 PTAgent 구성 파일 경로는 다음과 같습니다.
/opt/dell/DellPTAgent/cfg/PTAgent.config
PTAgent 구성 인증서 매개변수:
certificate_store_path |
REST 클라이언트와 SSL에서 사용되는 인증서 파일의 전체 파일 경로는 쉼표로 구분되어 있습니다. |
기본 PTAgent 인증서 예:
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
[root@c1-esx01:/opt/dell/DellPTAgent/cfg] openssl s_client -connect {ESXi_IPv4|ESXi_IPv6}:8086
CONNECTED(00000003)
depth=0 C = US, ST = Texas, L = Round Rock, O = Dell EMC Inc, OU = Server Storage HCI, CN = dellemc.com
verify error:num=18:self signed certificate
verify return:1
depth=0 C = US, ST = Texas, L = Round Rock, O = Dell EMC Inc, OU = Server Storage HCI, CN = dellemc.com
verify return:1
---
Certificate chain
0 s:/C=US/ST=Texas/L=Round Rock/O=Dell EMC Inc/OU=Server Storage HCI/CN=dellemc.com
i:/C=US/ST=Texas/L=Round Rock/O=Dell EMC Inc/OU=Server Storage HCI/CN=dellemc.com
---