本章节介绍如何创建证书到存储后端,如果有对服务登录存储添加证书校验的需要,可以参考本章节新增证书,当前支持根据crt文件或者pem文件创建证书到存储后端。
创建证书到存储后端前,须提前将准备好的证书导入存储阵列。
新增证书到存储后端(可选)
1 - 创建证书到存储后端
前提条件
完成证书制作。以OceanStor Dorado为例,证书制作过程请参考:点此前往。
创建证书示例
提前准备好证书文件,如cert.crt。
执行以下命令获取存储后端。
oceanctl get backend命令结果示例如下。
NAMESPACE NAME PROTOCOL STORAGETYPE SN STATUS ONLINE URL huawei-csi backend-1 roce oceanstor-san xxxxxxxxxxxxxxxxxxxx Bound true https://192.168.129.157:8088 huawei-csi backend-2 roce oceanstor-san xxxxxxxxxxxxxxxxxxxx Bound true https://192.168.129.158:8088执行以下命令为指定存储后端创建证书。
oceanctl create cert cert-1 -b backend-1 -f /path/to/cert.crt检查证书创建结果。
oceanctl get cert -b backend-1命令结果示例如下。
NAMESPACE NAME BOUNDBACKEND huawei-csi cert-1 backend-1
2 - 查询存储后端证书
请根据查询存储后端证书所示命令对存储后端证书进行查询。
3 - 更新存储后端证书
更新证书前请准备好新的证书文件,并参考本章节更新存储后端证书。如果不再使用证书,请参考删除存储后端证书章节移除存储后端上的证书。
更新证书步骤
执行以下命令获取存储后端。
oceanctl get backend命令结果示例如下。
NAMESPACE NAME PROTOCOL STORAGETYPE SN STATUS ONLINE URL huawei-csi backend-1 roce oceanstor-san xxxxxxxxxxxxxxxxxxxx Bound true https://192.168.129.157:8088 huawei-csi backend-2 roce oceanstor-san xxxxxxxxxxxxxxxxxxxx Bound true https://192.168.129.158:8088执行以下命令查看指定存储后端是否存在证书。
oceanctl get cert -b backend-1命令结果示例如下。
NAMESPACE NAME BOUNDBACKEND huawei-csi cert-1 backend-1执行以下命令更新指定存储后端的证书。
oceanctl update cert -b backend-1 -f /path/to/cert.crt
4 - 删除存储后端证书
删除证书步骤
执行以下命令获取存储后端。
oceanctl get backend命令结果示例如下。
NAMESPACE NAME PROTOCOL STORAGETYPE SN STATUS ONLINE URL huawei-csi backend-1 roce oceanstor-san xxxxxxxxxxxxxxxxxxxx Bound true https://192.168.129.157:8088 huawei-csi backend-2 roce oceanstor-san xxxxxxxxxxxxxxxxxxxx Bound true https://192.168.129.158:8088执行以下命令获取指定存储后端的证书。
oceanctl get cert -b backend-1命令结果示例如下。
NAMESPACE NAME BOUNDBACKEND huawei-csi cert-1 backend-1执行以下命令删除指定存储后端的证书。
oceanctl delete cert -b backend-1检查删除结果。
oceanctl get cert -b backend-1命令结果示例如下,如果回显为“no cert found”则删除成功。
Error from server (NotFound): no cert found on backend backend-1 in huawei-csi namespace