当GTM与GTM或LTM通信时,证书用于通信。默认情况下,GTM颁发的证书有效期仅为1年。在这种情况下,当证书过期时,他们将无法通信。
2解决问题证书到期后,GTM将无法与其他设备通信。此时,可以通过重新签署证书来避免此问题。但是,F5的web界面只能颁发1年的证书,10年的证书需要通过命令行颁发。同时,由于原始过期证书信息记录在GTM设备中,重新颁发证书后,需要删除原始过期证书信息并添加新的证书信息。
整个过程分为三个部分。第一部分是重新颁发证书;第二部分是更新证书信息。
2.1重新颁发自我认证1.通过SSH登录GTM设备。
2.输入目录:/config/httpd/conf/SSLcrt。命令为:
cd/config/httpd/conf/ssl。阴极射线管
3.ConvertserverCRTcertificate是一个新的证书请求:csr。命令是:
opensslx509-x509toreq-in服务器。crt-out服务器。csr-signkey/config/httpd/conf/ssl。密钥/服务器。钥匙
4.使用新的CSR并指定证书的有效日期。在这里,它被使用了10年。命令是:
opensslx509-req-in服务器。csr-signkey/config/httpd/conf/ssl。密钥/服务器。密钥-第3650天-退出服务器。阴极射线管
5.重新启动web服务器守护程序。命令是:
bigstart重启httpd
6.将新的自颁发证书复制到信任证书目录。命令是:
cat/config/httpd/conf/ssl。crt/服务器。阴极射线管gt;/config/big3d/client。阴极射线管
请注意,这两个设备都需要此操作,以确保其各自的证书
它们的有效期均为10年。
2.2更新证书信息1.通过SSH登录GTM设备。
2.删除GTM记录的证书交换信息
在正常情况下,GTM运行BIGIP_u。在add命令之后,它将与LTM通信并交换SSL证书信息。交换完成后,信息将保存在/root/ssh/know_uuhhosts中。因此,在再次运行big3d之前,需要删除此文件中过期的LTM证书信息。install命令交换更新的证书信息。本文件内容如下:
12.0.0.0.0.0.1中国社会科学院的一个研究生的一个研究生的一个研究生的一个研究生的一个研究生的一个研究生的研究生的一个研究生的研究生的一个研究生的一个研究生的一个研究生的一个研究生的一个研究生的一个研究生的研究生的研究生的研究生的研究生的研究生或者他们的研究生,或者他们的研究生或者他们的研究生的研究生的研究生或者他们的研究生的研究生或者他们的研究生的研究生的研究生或者他们的研究生的研究生的研究生的研究生的研究生的研究生或者他们的研究生的研究生的研究生或者他们的研究生的研究生或者他们的研究生的研究生或者他们的研究生或者他们的研究生或者他们的研究生或者他们的研究生或者他们的研究生或者他们的研究生或者他们的研究生或者或者他们的研究生或者他们的研究生的研究生或者9Y9MT/5pRIed4NGUWlQGyjH6
其中127.0.0.1是需要更新证书的设备的IP地址,下面的字符串是相应的证书信息。使用VI命令删除这一行。保存并退出到下一步。
3.使用install命令运行big3d_uu,添加需要再次更新证书的设备。命令是:
希望在实施GTM双机或GTM+LTM项目时,首先生成10年证书,以避免一年后性能与实际不一致。备用机器链接已断开。无法交换证书等问题。
最新评论