背景,各自的server,device中都是自己的证书.
1.在active设备上执行bigip_add (active机器中配置了对端GTM)
结果:active的server中有对方证书,device中证书还是只有自己的。
standby的server中还是只有自己的,device中有了对方证书。
效果:在active机器上执行iqdump,可以和对端通信,但是对端不能用iqdump和active机器通信
结论:bigip_add的作用是,给对方device中增加自己的证书,给自己的server中增加对方证书。
当对方的device中有自己的证书时,自己就可以使用iqdump和对方通信,此时的iqdump动作是检查对方过来的数据,因此只要对方有自己的证书即可
(换句话说:就是对方可以出示我的证书)
2.在对端机器上也执行bigip_add
结果:两边机器上 device ,server中的证书都彼此一致,即既有自己的也有对方的。
效果:彼此可以iqdump ,gtm_add可以正常
关于两边机器证书很乱的处理方法:
如果经过几次bigip_add导致两边的证书很混乱,建议按如下方法处理:
1.在各自机器上单独重新生成http的ssl自签证书,并将证书分别命名,顺便签发成10年的
2.格式化各自device,server证书
cat /config/httpd/conf/ssl.crt/server.crt > /config/big3d/client.crt
cat /config/httpd/conf/ssl.crt/server.crt > /config/gtm/server.crt
3.经过以上步骤,各个机器里的证书就都很干净了,下面按照顺序执行bigip_add即可
a.先在完全配置好的GTM上执行bigip_add,将自己的证书发到对方的device证书中,同时也将对方的证书拉到自己的server证书中
b.在其他GTM上执行bigip_add,反向同步证书。如果有多台GTM,建议多次执行,最终要求的效果就是不管server还是device中都要既看到
自己的证书,又要看到所有对方的证书。
关于device cert 和 server cert之间关系,参看http://www.mycisco.cn/post/364.html
文章评论