如何更新On-Premise Service Fabric群集的更新X509证书

Question

对于非Azure（On-Prem）安装，我不清楚Service Fabric中更新x509证书的文档：https://docs.microsoft.com/en-us/azure/service-fabric/service-fabric-cluster-upgrade-windows-server

我已按照这些步骤操作，但它们没有奏效。

1. 更新了群集设置json模板，以便原始证书的指纹现在是＆＃34; ThumbprintSecondary＆＃34;。

2. 在＆＃34; Thumbprint＆＃34;下添加了新的证书指纹。 e.g。

   ＆＃34;安全＆＃34;：{      ＆＃34;元数据＆＃34;：＆＃34;凭据类型X509表示这是群集       使用X509证书保护。指纹格式为 - d5 ec 42 3b 79 cb e5 07 fd 83 59 3c 56 b9 d5 31 24 25 42 64。＆＃34;，         ＆＃34; ClusterCredentialType＆＃34;：＆＃34; X509＆＃34;，         ＆＃34; ServerCredentialType＆＃34;：＆＃34; X509＆＃34;，         ＆＃34; CertificateInformation＆＃34;：{             ＆＃34; ClusterCertificate＆＃34;：{                 ＆＃34; Thumbprint＆＃34;：＆＃34;新的指纹＆＃34;，                 ＆＃34; ThumbprintSecondary＆＃34;：＆＃34; Old Thumbprint＆＃34;，                 ＆＃34; X509StoreName＆＃34;：＆＃34;我的＆＃34;         }，         ＆＃34; ServerCertificate＆＃34;：{         ＆＃34; Thumbprint＆＃34;：＆＃34;新的指纹＆＃34;，         ＆＃34; ThumbprintSecondary＆＃34;：＆＃34; Old Thumbprint＆＃34;，         ＆＃34; X509StoreName＆＃34;：＆＃34;我的＆＃34;     }，

3. 安装新证书pfx并更新＆＃34; NETWORK SERVICE＆＃34;

的ACL
4. 运行Start-ServiceFabricClusterConfigurationUpgrade -ClusterConfigPath＆＃34; json配置文件路径＆＃34;

Answer 1

对于您的问题，没有没有开箱即用的方法来更新Service Fabric内部部署群集的证书。 我为此问题向微软开了一张机票：117011115158708，他们回复说它将在5.5版本上修复 这个版本现在出来了，问题仍然没有解决，他们应该回复我这个问题的答案，我会尽量保持这篇文章的更新。

Answer 2

证书更新将是群集配置更改。以下方法对我来说适用于集群配置更改。

• 已将新证书安装在所有节点上。
• 运行Get-ServiceFabricRegisteredClusterConfigVersion。最高人数 列出的很可能是您所在的集群配置版本。
• 运行Get-ServiceFabricClusterManifest | Out-File C:\ClusterManifest.xml
• 编辑ClusterManifest.xml文件并进行以下更改：
  • 升级根ClusterManifest XML标记上的Version属性 （例如，如果为1，请转到2）
  • 更新“证书”部分下的指纹
• 将Copy-ServiceFabricClusterPackage与-Config选项一起使用（我没有提供完整的语法，但是您可以查找它，因为它很详细），并指定修改后的ClusterManifest.xml文件。
• 运行Get-ServiceFabricRegisteredClusterConfigVersion。您刚刚使用的版本 现在，上传的文件将是最高版本（例如，在本示例中为2）。
• 运行Start-ServiceFabricClusterUpgrade -Config -ClusterManifestVersion new-version （在此示例中为2；再次我省略了其他 参数以简化操作。）