导入并激活证书

背景信息

• 只有超级管理员才能导入并激活证书。
• 多集群场景下，不同集群的同类型安全证书导入时，确保导入每个集群的证书文件、CA证书文件、私钥文件均保持一致。

• 更新系统内部服务的安全证书时，请等待该证书更新完成之后（即系统上报更新证书成功/失败操作日志），再更新其他场景证书。
• 更新证书过程中，禁止执行扩缩容集群、部件更换和上下电集群等操作。

前提条件

1. 获取请求文件。具体操作请参见导出证书请求文件（CSR）。
2. 导出请求文件后，通过证书签发机构签发证书文件并获取签发的数字证书和证书签发机构的CA证书：
   • 使用存储系统的内置CA签发证书：
     1. 通过内置CA签发数字证书操作签发证书。
     2. 通过导出已签发的数字证书操作导出证书文件。
     3. 通过导出内置CA证书操作导出CA证书文件。
   • 使用客户的CA或可信的第三方CA签发证书：将请求文件发送给客户的CA或第三方CA生成证书文件并获取其CA证书。

操作步骤

1. 选择“设置 > 证书 > 证书管理”。
2. 选择需要导入的证书，单击“导入并激活”。
   

   • 不同场景下导入并激活证书弹框显示不相同，本文档中以导入并激活双活仲裁证 书为例进行说明。
   • 客户更新DeviceManager证书和DswareTool证书时，第三方网管通过RESTful接口对接存储，并且希望在创建链路协商过程中获取完整证书链信息的场景，导入的证书需要包含完整证书链信息。获取完整证书链证书文件操作如下：
     1. 通过记事本打开服务器证书、中间CA证书、根CA证书。
     2. 按照SSL证书链格式，将中间CA证书、根CA证书放入服务器证书文件中。一般情况下，机构在颁发证书时会说明完整证书链格式，请注意查阅相关规则。通用的格式如下（证书间没有空行）：

        -----BEGIN CERTIFICATE-----

        服务器证书

        -----END CERTIFICATE-----

        -----BEGIN CERTIFICATE-----

        中间CA证书

        -----END CERTIFICATE-----

        -----BEGIN CERTIFICATE-----

        根CA证书

        -----END CERTIFICATE-----

     3. 保存服务器证书，得到一个包含完整证书链的证书。

3. 导入“异构设备接入证书”和“异构设备业务证书”场景的CA证书时，需要选择异构设备。
   

   若要增加多个相同设备管理IP地址的异构设备，需在每个相同设备管理IP地址的异构设备都导入相同的接入CA证书，否则可能出现校验异常，导致无法获取设备详情信息。

   

   单击“立即配置”，系统将跳转至增加异构设备页面，您可以添加新的异构设备。

4. 根据需要分别选择证书文件、CA证书文件和私钥文件。
   

   只支持明文的私钥文件。

5. 单击“确定”。
   

   • 每执行一个场景的证书“导入并激活”都需要在“监控”-“告警和事件”-“事件”中，等待依次出现***导入证书成功、***激活证书成功和***更新证书成功这三个事件，才能继续执行下一个场景的证书“导入并激活”。更新证书成功前，相关业务操作可能无法正常执行，请在证书更新完成后重试。
   • 在更新“系统内部服务的安全证书”过程中可能产生HA相关的告警，告警会在证书更新成功后自动恢复。