该KB也可以在SRX防火墙上使用。


通常,当您启动CRL请求,为本地和CA安装证书时,两个群集成员都会自动同步节点之间的证书和密钥,因为 SRX群集环境中支持PKI。

当一个节点丢失其密钥和证书时,以下过程可以帮助从另一节点获取它们。


概要:

本文档说明在HA群集中更换RE后如何复制证书。

问题还是目标:

这些证书和密钥对不会与 other Node 更换新的RE时。
由于不同步证书,因此使用证书的IPSEC隧道在故障转移到此节点(替换了RE)后将关闭。

用于IKE协商的证书/密钥对存储在以下位置,

/ var / db / certs / common / key-pair
/ var / db / certs / common / local
/ var / db / certs / common / certification-authority

解:

步骤如下

1.在两个会话的两个群集节点上,以root用户身份启动Shell。
2.使用“ ls -la / var / db / certs / common / key-pair /”验证第一个文件夹的源群集节点上的内容
3.使用相同的命令确认目标群集节点上是否具有相同的文件名。
4.如果目标文件夹中有相同名称的文件,请移动到其他位置进行备份。

===
[电子邮件 protected]%pwd
/ var / db / certs / common / key-pair
[电子邮件 protected]%ls -la
共8个
drwx—— 2个根轮512 Jan 22 15:09。
drwx—— 7根齿轮512 2009年3月26日..
-rw-r–r– 1根轮0 Jan 22 15:09测试
[电子邮件 protected]%mv test test.old
[电子邮件 protected]%ls -la
共8个
drwx—— 2个根轮512 Jan 22 15:10。
drwx—— 7根齿轮512 2009年3月26日..
-rw-r–r– 1根轮0 Jan 22 15:09 test.old
[电子邮件 protected]%
===

5.从第一个文件夹的源群集节点复制文件中,确保使用正确的节点号作为目标:
===
[电子邮件 protected]%rcp -T / var / db / certs / common / key-pair / * nodex:/ var / db / certs / common / key-pair /
===
6.在目标群集节点上验证是否从第一个节点复制了带有“ ls -la”的新文件
7.对每个文件夹重复步骤2至6

通过 约翰

发表评论