Antes de seguir as etapas abaixo, leia as informações na seção "Informações adicionais".
Há duas opções para atualizar o certificado PTAgent SSL:
- Atualize o certificado PTAgent SSL com o certificado SSL do ESXi abaixo de KB157784.
- Atualize o certificado PTAgent SSL com o certificado SSL personalizado.
O certificado SSL personalizado inclui os arquivos abaixo:
server.crt (este deve ser o arquivo de certificado do servidor)
server.key (deve ser o arquivo de chave do servidor)
server-chain.crt (este deve ser o arquivo da cadeia de certificados)
Nota: este é um exemplo, e os nomes de arquivo podem ser diferentes.
Etapas,
- SSH para o nó do ESXi com a conta "root".
- Interrompa o serviço DellPTAgent com o seguinte comando:
/etc/init.d/DellPTAgent stop
3. Coloque todos os arquivos de certificado personalizados no caminho '/opt/dell/DellPTAgent/secure/'. Atualize a permissão dos arquivos para que seja a mesma com os certificados SSL do PTAgent padrão.
Veja abaixo um exemplo das permissões padrão de certificado SSL do PTAgent:
[root@c4-esx01:/opt/dell/DellPTAgent/secure] ls -l
total 12
-r-------- 1 root root 424 Apr 7 01:30 pta_dhparm.pem
-r-------- 1 root root 1257 Apr 7 01:30 pta_server.crt
-r-------- 1 root root 1704 Apr 7 01:30 pta_server.key
4. Atualize o parâmetro do certificado PTAgent com os certificados personalizados em PTAgent.config:
Há duas opções:
- (Não recomendado) O certificado SSL personalizado é autoassinado. Nessa situação, não deve haver nenhum arquivo de cadeia de certificados. O arquivo de configuração do PTAgent deve ser atualizado com os valores abaixo,
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/server.crt,/opt/dell/DellPTAgent/secure/server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
- O cliente envia a CSR para sua CA empresarial ou externa para assinatura. Nessa situação, deve haver três arquivos (server.crt, server.key, server-chain.crt) ou dois arquivos (server.crt, server.key).
- Se houver três arquivos, o arquivo de certificado do servidor deve ser separado com um arquivo de cadeia de certificados. Combine-os para obter um novo arquivo de certificado de servidor (new_server.crt).
Nota: O certificado do servidor deve estar no final do novo arquivo de certificado do servidor.
- O arquivo de configuração do PTAgent deve ser atualizado com o valor abaixo,
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/new_server.crt,/opt/dell/DellPTAgent/secure/server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
- Há dois arquivos, o arquivo de certificado do servidor deve incluir todos os certificados ca, que armazenam em um arquivo de cadeia de certificados. O arquivo de configuração do PTAgent deve ser atualizado com o valor abaixo.
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/server.crt,/opt/dell/DellPTAgent/secure/server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
5. Inicie o serviço DellPTAgent com o seguinte comando:
/etc/init.d/DellPTAgent start
6. Verifique o status de execução do PTAgent com o comando abaixo:
/etc/init.d/DellPTAgent status
esxcli network ip connection list | grep LISTEN | grep Dell
The expected results should be same with below,
DellPTAgent is running
tcp 0 0 {ESXi_host_ipv4_address}/{ESXi_host_ipv6_address}:8086 0.0.0.0:0 LISTEN 3992948 newreno DellPTAgent
7. Verifique se o certificado PTAgent está atualizado com o comando abaixo:
openssl s_client -connect {ESXi_host_ipv4_address}/{ESXi_host_ipv6_address}:8086
Nota: Os certificados PTAgent agora devem ser atualizados com o certificado SSL personalizado. Se o certificado não for atualizado, entre em contato com o Centro de suporte da Dell Technologies ou seu representante de serviço para obter suporte técnico e mencione esta ID da solução.
8. Repita a etapa 1 ~ etapa 7 para outros nós no mesmo cluster do VxRail.
Introdução ao resumo do arquivo de configuração do PTAgent:
As configurações de tempo de execução do agente do PowerTools são armazenadas no arquivo chamado PTAgent.config, que é encontrado na pasta de instalação.
Os parâmetros de configuração são somente leitura na inicialização.
O caminho do arquivo de configuração do PTAgent no host do ESXi é:
/opt/dell/DellPTAgent/cfg/PTAgent.config
Parâmetro do certificado de configuração PTAgent:
| certificate_store_path |
Caminho do arquivo completo de arquivos de certificado usados em agitem manualmente SSL com clients REST, separados por vírgulas. |
O exemplo de certificado PTAgent padrão:
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
[root@c1-esx01:/opt/dell/DellPTAgent/cfg] openssl s_client -connect {ESXi_IPv4|ESXi_IPv6}:8086
CONNECTED(00000003)
depth=0 C = US, ST = Texas, L = Round Rock, O = Dell EMC Inc, OU = Server Storage HCI, CN = dellemc.com
verify error:num=18:self signed certificate
verify return:1
depth=0 C = US, ST = Texas, L = Round Rock, O = Dell EMC Inc, OU = Server Storage HCI, CN = dellemc.com
verify return:1
---
Certificate chain
0 s:/C=US/ST=Texas/L=Round Rock/O=Dell EMC Inc/OU=Server Storage HCI/CN=dellemc.com
i:/C=US/ST=Texas/L=Round Rock/O=Dell EMC Inc/OU=Server Storage HCI/CN=dellemc.com
---