Skip to main content
Alle Cloud-Anbieter
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Alle Cloud-Anbieter
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Einrichten von Sicherheitszertifikaten für StorageGRID und ONTAP in NetApp Backup and Recovery

Beitragende netapp-mwallis
PDFs

Erstellen Sie ein Sicherheitszertifikat, um die Kommunikation zwischen NetApp Backup and Recovery und StorageGRID oder ONTAP zu ermöglichen.

Erstellen Sie ein Sicherheitszertifikat für StorageGRID

Wenn die Kommunikation zwischen NetApp Backup and Recovery Containern und StorageGRID das StorageGRID -Zertifikat überprüfen soll, führen Sie die folgenden Schritte aus.

Das generierte Zertifikat sollte CN und Subject Alternative Name als den Namen enthalten, der in NetApp Backup and Recovery angegeben wurde, als Sie die Sicherung aktiviert haben.

Schritte

  1. Befolgen Sie die Schritte in der StorageGRID -Dokumentation, um das StorageGRID -Zertifikat zu erstellen.

    "StorageGRID Informationen zum Konfigurieren von Zertifikaten"

  2. Aktualisieren Sie StorageGRID mit dem Zertifikat, falls Sie dies noch nicht getan haben.

  3. Melden Sie sich als Root-Benutzer beim Konsolenagenten an. Laufen:

    sudo su

  4. Holen Sie sich das Docker-Volume von NetApp Backup and Recovery (Cloud Backup Service). Laufen:

    docker volume ls | grep cbs

    Ausgabebeispiel:

    local service-manager-2_cloudmanager_cbs_volume"
    Hinweis Der Volumename ist in den Bereitstellungsmodi „Standard“, „Privat“ und „Eingeschränkt“ unterschiedlich. In diesem Beispiel wird der Standardmodus verwendet. Siehe "Bereitstellungsmodi der NetApp Console" .

  5. Suchen Sie den Einhängepunkt des NetApp Backup and Recovery -Volumes. Laufen:

    docker volume inspect service-manager-2_cloudmanager_cbs_volume | grep Mountpoint

    Ausgabebeispiel:

    "Mountpoint": "/var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data"
    Hinweis Der Einhängepunkt ist in den Bereitstellungsmodi „Standard“, „Privat“ und „Eingeschränkt“ unterschiedlich. Dieses Beispiel zeigt eine Standard-Cloud-Bereitstellung. Siehe "Bereitstellungsmodi der NetApp Console" .

  6. Wechseln Sie in das MountPoint-Verzeichnis. Laufen:

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  7. Wenn das Zertifikat von StorageGRID von der Stammzertifizierungsstelle und einer Zwischenzertifizierungsstelle signiert ist, fügen Sie die pem Dateien von beiden in eine Datei mit dem Namen sgws.crt am aktuellen Standort. Fügen Sie das Blattzertifikat nicht zu dieser Datei hinzu.

Schritte für den Cloudmanager_CBS-Container

Sie müssen die StorageGRID -Server-Zertifikatsüberprüfung in NetApp Backup and Recovery (Cloud Backup Service) aktivieren.

  1. Wechseln Sie zum Verzeichnis des Docker-Volumes, das Sie in den vorherigen Schritten erhalten haben.

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  2. Wechseln Sie in das Konfigurationsverzeichnis.

    cd cbs_config

  3. Erstellen und speichern Sie eine Konfigurationsdatei wie unten gezeigt mit einem der folgenden Namen, basierend auf Ihrer Bereitstellungsumgebung:

    • `production-customer.json`Wird für Bereitstellungen im Standardmodus und eingeschränkten Modus verwendet.

    • `darksite-customer.json`Wird für Bereitstellungen im privaten Modus verwendet.

      Siehe "Bereitstellungsmodi der NetApp Console" .

      Konfigurationsdatei

    {
  "protocols": {
    "sgws": {
      "certificates": {
        "reject-unauthorized": true,
        "ca-bundle": "/config/sgws.crt"
      }
    }
  }
}

  4. Verlassen Sie den Container. Laufen:

    exit

  5. Neustart cloudmanager_cbs . Laufen:

    docker restart cloudmanager_cbs

Schritte für den Container „cloudmanager_cbs_catalog“

Als Nächstes müssen Sie die StorageGRID -Server-Zertifikatsüberprüfung für den Katalogisierungsdienst aktivieren.

  1. Wechseln Sie zum Docker-Volume:

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  2. Konfigurieren Sie den Katalog. Laufen:

    cd cbs_catalog_config

  3. Erstellen Sie eine Konfigurationsdatei wie unten gezeigt mit einem der folgenden Namen, basierend auf Ihrer Bereitstellungsumgebung:

    • `production-customer.json`Wird für Bereitstellungen im Standardmodus und eingeschränkten Modus verwendet.

    • `darksite-customer.json`Wird für Bereitstellungen im privaten Modus verwendet.

      Siehe "Bereitstellungsmodi der NetApp Console" .

      Katalogkonfigurationsdatei

    {
  "protocols": {
    "sgws": {
      "certificates": {
        "reject-unauthorized": true,
        "ca-bundle": "/config/sgws.crt"
      }
    }
  }
}

  4. Starten Sie den Katalog neu. Laufen:

    docker restart cloudmanager_cbs_catalog

Aktualisieren Sie das Konsolen-Agent-Zertifikat mit dem StorageGRID -Zertifikat basierend auf dem Agent-Betriebssystem

Ubuntu

  1. Kopieren Sie das SGWS-Zertifikat nach /usr/local/share/ca-certificates . Hier ist ein Beispiel:

    cp /config/sgws.crt /usr/local/share/ca-certificates/

    Wo sgws.crt ist das Stamm-CA-Zertifikat.

  2. Aktualisieren Sie die Hostzertifikate mit dem StorageGRID -Zertifikat. Laufen

    sudo update-ca-certificates

Red Hat Enterprise Linux

  1. Kopieren Sie das SGWS-Zertifikat nach /etc/pki/ca-trust/source/anchors/ .

    cp /config/sgws.crt /etc/pki/ca-trust/source/anchors/

    Wo sgws.crt ist das Stamm-CA-Zertifikat.

  2. Aktualisieren Sie die Hostzertifikate mit dem StorageGRID -Zertifikat.

    update-ca-trust extract

  3. Aktualisieren Sie die ca-bundle.crt

    cd /etc/pki/tls/certs/
openssl x509 -in ca-bundle.crt -text -noout

  4. Um zu überprüfen, ob die Zertifikate vorhanden sind, führen Sie den folgenden Befehl aus:

    openssl crl2pkcs7 -nocrl -certfile /etc/pki/tls/certs/ca-bundle.crt | openssl pkcs7 -print_certs | grep subject | head

Erstellen Sie ein Sicherheitszertifikat für ONTAP

Wenn die Kommunikation zwischen den NetApp Backup and Recovery -Containern und ONTAP das ONTAP -Zertifikat validieren soll, führen Sie die folgenden Schritte aus.

NetApp Backup and Recovery verwendet die Cluster Management IP, um eine Verbindung mit ONTAP herzustellen. Geben Sie die IP-Adresse des Clusters in die alternativen Betreffnamen des Zertifikats ein. Geben Sie diesen Schritt an, wenn Sie die CSR mithilfe der System Manager-Benutzeroberfläche generieren.

Verwenden Sie die System Manager-Dokumentation, um ein neues CA-Zertifikat für ONTAP zu erstellen.

Schritte

  1. Melden Sie sich als Root beim Konsolenagenten an. Laufen:

    sudo su

  2. Holen Sie sich das Docker-Volume für NetApp Backup and Recovery . Laufen:

    docker volume ls | grep cbs

    Ausgabebeispiel:

    local service-manager-2_cloudmanager_cbs_volume
    Hinweis Der Volumename ist in den Bereitstellungsmodi „Standard“, „Privat“ und „Eingeschränkt“ unterschiedlich. Dieses Beispiel zeigt eine Standard-Cloud-Bereitstellung. Siehe "Bereitstellungsmodi der NetApp Console" .

  3. Besorgen Sie sich die Halterung für das Volume. Laufen:

    docker volume inspect service-manager-2_cloudmanager_cbs_volume | grep Mountpoint

    Ausgabebeispiel:

    "Mountpoint": "/var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data
    Hinweis Der Einhängepunkt ist in den Bereitstellungsmodi „Standard“, „Privat“ und „Eingeschränkt“ unterschiedlich. Dieses Beispiel zeigt eine Standard-Cloud-Bereitstellung. Siehe "Bereitstellungsmodi der NetApp Console" .

  4. Wechseln Sie in das Mountpoint-Verzeichnis. Laufen:

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  5. Führen Sie einen der folgenden Schritte aus:

    • Wenn das ONTAP -Zertifikat von der Stammzertifizierungsstelle und einer Zwischenzertifizierungsstelle signiert ist, fügen Sie die pem Dateien von beiden in eine Datei mit dem Namen ontap.crt am aktuellen Standort.

    • Wenn das ONTAP -Zertifikat von einer einzigen Zertifizierungsstelle signiert ist, benennen Sie das pem Datei als ontap.crt und kopieren Sie es an den aktuellen Speicherort. Fügen Sie das Blattzertifikat nicht zu dieser Datei hinzu.

Schritte für den Cloudmanager_CBS-Container

Aktivieren Sie als Nächstes die ONTAP -Server-Zertifikatsüberprüfung in NetApp Backup and Recovery (Cloud Backup Service).

  1. Wechseln Sie zum Verzeichnis des Docker-Volumes, das Sie in den vorherigen Schritten erhalten haben.

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  2. Wechseln Sie in das Konfigurationsverzeichnis. Laufen:

    cd cbs_config

  3. Erstellen Sie eine Konfigurationsdatei wie unten gezeigt mit einem der folgenden Namen, basierend auf Ihrer Bereitstellungsumgebung:

    • `production-customer.json`Wird für Bereitstellungen im Standardmodus und eingeschränkten Modus verwendet.

    • `darksite-customer.json`Wird für Bereitstellungen im privaten Modus verwendet.

      Siehe "Bereitstellungsmodi der NetApp Console" .

      Konfigurationsdatei

    {
  "ontap": {
    "certificates": {
      "reject-unauthorized": true,
      "ca-bundle": "/config/ontap.crt"
    }
  }
}

  4. Verlassen Sie den Container. Laufen:

    exit

  5. Starten Sie NetApp Backup and Recovery neu. Laufen:

    docker restart cloudmanager_cbs

Schritte für den Container „cloudmanager_cbs_catalog“

Aktivieren Sie die ONTAP -Server-Zertifikatsüberprüfung für den Katalogisierungsdienst.

  1. Wechseln Sie zum Docker-Volume. Laufen:

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  2. Laufen:

    cd cbs_catalog_config

  3. Erstellen Sie eine Konfigurationsdatei wie unten gezeigt mit einem der folgenden Namen, basierend auf Ihrer Bereitstellungsumgebung:

    • `production-customer.json`Wird für Bereitstellungen im Standardmodus und eingeschränkten Modus verwendet.

    • `darksite-customer.json`Wird für Bereitstellungen im privaten Modus verwendet.

      Siehe "Bereitstellungsmodi der NetApp Console" .

      Konfigurationsdatei

    {
  "ontap": {
    "certificates": {
      "reject-unauthorized": true,
      "ca-bundle": "/config/ontap.crt"
    }
  }
}

  4. Starten Sie NetApp Backup and Recovery neu. Laufen:

    docker restart cloudmanager_cbs_catalog

Erstellen Sie ein Zertifikat für ONTAP und StorageGRID

Wenn Sie das Zertifikat sowohl für ONTAP als auch für StorageGRID aktivieren müssen, sieht die Konfigurationsdatei folgendermaßen aus:

Konfigurationsdatei für ONTAP und StorageGRID

{
  "protocols": {
    "sgws": {
      "certificates": {
        "reject-unauthorized": true,
        "ca-bundle": "/config/sgws.crt"
      }
    }
  },
  "ontap": {
    "certificates": {
      "reject-unauthorized": true,
      "ca-bundle": "/config/ontap.crt"
    }
  }
}