Før du følger trinnene nedenfor, må du lese informasjonen i delen «Tilleggsinformasjon».
Det finnes to alternativer for å oppdatere PTAgent SSL-sertifikatet:
- Oppdater PTAgent SSL-sertifikatet med ESXi SSL-sertifikatet med under KB157784.
- Oppdater PTAgent SSL-sertifikatet med tilpasset SSL-sertifikat.
Tilpasset SSL-sertifikat inkluderer filene nedenfor:
server.crt (dette skal være serversertifikatfil)
server.key (dette skal være servernøkkelfil)
server-chain.crt (dette skal være sertifikatkjedefil)
Merk: Dette er et eksempel, og filnavnene kan være annerledes.
Trinn,
- SSH til ESXi-noden med rotkonto.
- Stopp DellPTAgent-tjenesten med kommandoen nedenfor:
/etc/init.d/DellPTAgent stop
3. Plasser alle tilpassede sertifikatfiler i banen "/opt/dell/DellPTAgent/secure/" (Opt/dell/DellPTAgent/secure/). Oppdater filtillatelsen til å være den samme med standard PTAgent SSL-sertifikater.
Nedenfor finner du et eksempel på standard SSL-sertifikattillatelser for PTAgent:
[root@c4-esx01:/opt/dell/DellPTAgent/secure] ls -l
total 12
-r-------- 1 root root 424 Apr 7 01:30 pta_dhparm.pem
-r-------- 1 root root 1257 Apr 7 01:30 pta_server.crt
-r-------- 1 root root 1704 Apr 7 01:30 pta_server.key
4. Oppdater PTAgent-sertifikatparameteren med tilpassede sertifikater i PTAgent.config:
Det finnes to alternativer:
- (Anbefales ikke) Det tilpassede SSL-sertifikatet er selvsignert. I denne situasjonen skal det ikke være noen sertifikatkjedefil. PTAgent-konfigurasjonsfilen bør oppdateres med verdiene nedenfor.
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/server.crt,/opt/dell/DellPTAgent/secure/server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
- Kunden sender CSR til sin virksomhet eller ekstern ca for signering. I denne situasjonen skal det være tre filer (server.crt, server.key, server-chain.crt) eller to filer (server.crt, server.key).
- Hvis det er tre filer, skal serversertifikatfilen skilles med en sertifikatkjedefil. Kombiner dem sammen for å hente en ny serversertifikatfil (new_server.crt).
Merk: Serversertifikatet skal være på slutten av den nye serversertifikatfilen.
- PTAgent-konfigurasjonsfilen bør oppdateres med verdien nedenfor.
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/new_server.crt,/opt/dell/DellPTAgent/secure/server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
- Det er to filer. Serversertifikatfilen skal inkludere alle CA-sertifikater, som lagres i en sertifikatkjedefil. PTAgent-konfigurasjonsfilen bør oppdateres med verdien nedenfor.
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/server.crt,/opt/dell/DellPTAgent/secure/server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
5. Start DellPTAgent-tjenesten med kommandoen nedenfor:
/etc/init.d/DellPTAgent start
6. Kontroller PTAgent-kjørestatusen med kommandoen nedenfor:
/etc/init.d/DellPTAgent status
esxcli network ip connection list | grep LISTEN | grep Dell
The expected results should be same with below,
DellPTAgent is running
tcp 0 0 {ESXi_host_ipv4_address}/{ESXi_host_ipv6_address}:8086 0.0.0.0:0 LISTEN 3992948 newreno DellPTAgent
7. Kontroller at PTAgent-sertifikatet er oppdatert med kommandoen nedenfor:
openssl s_client -connect {ESXi_host_ipv4_address}/{ESXi_host_ipv6_address}:8086
Merk: PTAgent-sertifikatene skal nå oppdateres med det tilpassede SSL-sertifikatet. Hvis sertifikatet ikke oppdateres, kontakter du Dell Technologies Support Center eller servicerepresentanten din for teknisk støtte og oppgir denne løsnings-ID-en.
8. Gjenta trinn 1 ~ trinn 7 for andre noder i samme VxRail-klynge.
Innføring i PTAgent-konfigurasjonsfil:
Kjøretidskonfigurasjoner for PowerTools-agenten lagres i filen som heter PTAgent.config, som finnes i installasjonsmappen.
Konfigurasjonsparametere er skrivebeskyttet ved oppstart.
Banen til PTAgent-konfigurasjonsfilen på ESXi-verten er:
/opt/dell/DellPTAgent/cfg/PTAgent.config
PTAgent-konfigurasjonssertifikatparameter:
| certificate_store_path |
Fullstendig filbane for sertifikatfiler som brukes i SSL-håndristing med REST-klienter, komma atskilt. |
Eksempel på standard PTAgent-sertifikat:
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
[root@c1-esx01:/opt/dell/DellPTAgent/cfg] openssl s_client -connect {ESXi_IPv4|ESXi_IPv6}:8086
CONNECTED(00000003)
depth=0 C = US, ST = Texas, L = Round Rock, O = Dell EMC Inc, OU = Server Storage HCI, CN = dellemc.com
verify error:num=18:self signed certificate
verify return:1
depth=0 C = US, ST = Texas, L = Round Rock, O = Dell EMC Inc, OU = Server Storage HCI, CN = dellemc.com
verify return:1
---
Certificate chain
0 s:/C=US/ST=Texas/L=Round Rock/O=Dell EMC Inc/OU=Server Storage HCI/CN=dellemc.com
i:/C=US/ST=Texas/L=Round Rock/O=Dell EMC Inc/OU=Server Storage HCI/CN=dellemc.com
---