在执行以下步骤之前,请阅读“其他信息”部分中的信息。
有两个选项可用于更新 PTAgent SSL 证书:
- 使用以下 KB157784 的 ESXi SSL 证书更新 PTAgent SSL 证书。
- 使用自定义 SSL 证书更新 PTAgent SSL 证书。
自定义 SSL 证书包括以下文件:
server.crt (这应该是服务器证书文件)
server.key (这应该是服务器密钥文件)
server-chain.crt (这应该是证书链文件)
注:这是一个示例,文件名可能有所不同。
步骤、
- 使用“root”帐户 SSH 连接到 ESXi 节点。
- 使用以下命令停止 DellPTAgent 服务:
/etc/init.d/DellPTAgent stop
3.将所有自定义证书文件置于“/opt/dell/DellPTAgent/secure/”路径中。使用默认 PTAgent SSL 证书将文件权限更新为相同。
下面是 PTAgent 默认 SSL 证书权限的示例:
[root@c4-esx01:/opt/dell/DellPTAgent/secure] ls -l
total 12
-r-------- 1 root root 424 Apr 7 01:30 pta_dhparm.pem
-r-------- 1 root root 1257 Apr 7 01:30 pta_server.crt
-r-------- 1 root root 1704 Apr 7 01:30 pta_server.key
4.使用 PTAgent.config 中的自定义证书更新 PTAgent 证书参数:
有两个选项:
- (不推荐) 自定义 SSL 证书是自签名的。在这种情况下,不应有证书链文件。PTAgent 配置文件应使用以下值进行更新,
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/server.crt,/opt/dell/DellPTAgent/secure/server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
- 客户将 CSR 发送到其企业或外部 CA 进行签名。在这种情况下,应有三个文件(server.crt、server.key、server-chain.crt)或两个文件(server.crt、server.key)。
- 如果有三个文件,则应用证书链文件分隔服务器证书文件。将它们组合在一起以获取新的服务器证书文件 (new_server.crt)。
提醒:服务器证书应位于新服务器证书文件的末尾。
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/new_server.crt,/opt/dell/DellPTAgent/secure/server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
- 有两个文件,服务器证书文件应包括存储在证书链文件中的所有 CA 证书。PTAgent 配置文件应使用以下值进行更新。
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/server.crt,/opt/dell/DellPTAgent/secure/server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
5.使用以下命令启动 DellPTAgent 服务:
/etc/init.d/DellPTAgent start
6.使用以下命令检查 PTAgent 运行状态:
/etc/init.d/DellPTAgent status
esxcli network ip connection list | grep LISTEN | grep Dell
The expected results should be same with below,
DellPTAgent is running
tcp 0 0 {ESXi_host_ipv4_address}/{ESXi_host_ipv6_address}:8086 0.0.0.0:0 LISTEN 3992948 newreno DellPTAgent
7.使用以下命令验证 PTAgent 证书是否已更新:
openssl s_client -connect {ESXi_host_ipv4_address}/{ESXi_host_ipv6_address}:8086
提醒:现在应使用自定义 SSL 证书更新 PTAgent 证书。如果证书未更新,请联系 Dell Technologies 支持中心或您的服务代表以获得技术支持,并报价此解决方案 ID。
8.对同一 VxRail 群集中的其他节点重复步骤 1 ~ 步骤 7。
PTAgent 配置文件简介:
PowerTools 代理运行时间配置存储在名为 PTAgent.config 的文件中,该文件位于安装文件夹中。
配置参数在启动时为只读。
ESXi 主机上的 PTAgent 配置文件路径为:
/opt/dell/DellPTAgent/cfg/PTAgent.config
PTAgent 配置证书参数:
certificate_store_path |
SSL 中使用的证书文件与 REST 客户端握手的完整文件路径,逗号分隔。 |
默认 PTAgent 证书示例:
"certificate_store_path": {
"description": "List of SSL certificates file path",
"value": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
"defaultValue": "/opt/dell/DellPTAgent/secure/pta_server.crt,/opt/dell/DellPTAgent/secure/pta_server.key,/opt/dell/DellPTAgent/secure/pta_dhparm.pem
},
[root@c1-esx01:/opt/dell/DellPTAgent/cfg] openssl s_client -connect {ESXi_IPv4|ESXi_IPv6}:8086
CONNECTED(00000003)
depth=0 C = US, ST = Texas, L = Round Rock, O = Dell EMC Inc, OU = Server Storage HCI, CN = dellemc.com
verify error:num=18:self signed certificate
verify return:1
depth=0 C = US, ST = Texas, L = Round Rock, O = Dell EMC Inc, OU = Server Storage HCI, CN = dellemc.com
verify return:1
---
Certificate chain
0 s:/C=US/ST=Texas/L=Round Rock/O=Dell EMC Inc/OU=Server Storage HCI/CN=dellemc.com
i:/C=US/ST=Texas/L=Round Rock/O=Dell EMC Inc/OU=Server Storage HCI/CN=dellemc.com
---