配置与Crypto-fs通信的证书
使用HwHiAiUser用户,执行以下步骤完成证书配置,并确保kmsagent服务已启动,启动命令参考3。设置完证书后,请重启kmsagent服务,具体操作请参见重启kmsagent服务。
- 使用kmsagent命令生成Crypto-FS的CSR证书请求。
/usr/local/Ascend/driver/tools/kmsagent tls-cfs get-csr "rsa:4096:sha256" "CN|ZHEJIANG|HANGZHOU|Huawei|Marketing" /var/kmsagentd/kmsagent.conf /var/kmsagentd/kmsconf.ksf
具体生成的csr路径为配置文件中的“SERVER_FOR_CFS”下“TlsCertPath”参数配置的tmp目录。
- 用户向所在组织内部证书签发部门,或符合所在组织安全要求的外部证书签发机构申请签发证书。
- 下载签发好的CA证书。本次步骤以CA根证书“rsa.rca.pem”,二级CA证书“rsa.oca.pem”,根证书链“rsa.trust.pem”,TLS证书“rsa.00638ef9df05a254695a5fab84935aff.pem”为例继续说明。
- 导入证书。
- 将上一步中下载的TLS证书、CA根证书、二级CA证书,上传至同一目录下。
- 在该目录下执行命令。执行前请确保文件仅kmsagent运行用户可读,其他用户无权访问。
/usr/local/Ascend/driver/tools/kmsagent tls-cfs set-cert "rsa.00638ef9df05a254695a5fab84935aff.pem rsa.rca.pem rsa.oca.pem" /var/kmsagentd/kmsagent.conf /var/kmsagentd/kmsconf.ksf
其中“rsa.00638ef9df05a254695a5fab84935aff.pem”证书名称以实际下载名称为准。
配置与AI-VAULT通信的证书
使用HwHiAiUser用户,执行以下步骤完成证书配置,并确保kmsagent服务已启动,启动命令参考3。设置完证书后,请重启kmsagent服务,具体操作请参见重启kmsagent服务。
- 使用kmsagent命令生成AI-VAULT的CSR证书请求。
/usr/local/Ascend/driver/tools/kmsagent tls-client get-csr "rsa:4096:sha256" "CN|ZHEJIANG|HANGZHOU|Huawei|Marketing" /var/kmsagentd/kmsagent.conf /var/kmsagentd/kmsconf.ksf
具体生成的csr路径为配置文件中的“CLIENT_FOR_AIVAULT”下“TlsCertPath”参数配置的tmp目录。
- 用户向所在组织内部证书签发部门,或符合所在组织安全要求的外部证书签发机构申请签发证书。
- 下载签发好的CA证书。下面以CA根证书“rsa.rca.pem”,二级CA证书“rsa.oca.pem”,根证书链“rsa.trust.pem”,TLS证书“rsa.00638ef9df05a254695a5fab84935aff.pem”为例继续说明。
- 导入证书。
- 将上一步中下载的TLS证书、CA根证书、二级CA证书,上传至同一个目录下。
- 在该目录下执行命令。执行前请确保文件仅kmsagent运行用户可读,其他用户无权访问。
/usr/local/Ascend/driver/tools/kmsagent tls-client set-cert "rsa.00638ef9df05a254695a5fab84935aff.pem rsa.rca.pem rsa.oca.pem" /var/kmsagentd/kmsagent.conf /var/kmsagentd/kmsconf.ksf
其中“rsa.00638ef9df05a254695a5fab84935aff.pem”证书名称以实际下载名称为准。
