Verwalten des ONTAP Mediators Service
Verwalten Sie den ONTAP Mediator-Dienst, einschließlich Ändern der Benutzeranmeldeinformationen, Anhalten und erneutes Aktivieren des Dienstes, Überprüfen des Funktionszustands und Installieren oder Deinstallieren von SCST für die Hostwartung. Sie können auch Zertifikate verwalten, z. B. selbstsignierte Zertifikate neu generieren, diese durch vertrauenswürdige Zertifikate von Drittanbietern ersetzen und Probleme mit Zertifikaten beheben.
Ändern Sie den Benutzernamen
Sie können den Benutzernamen wie folgt ändern.
Führen Sie diese Aufgabe auf dem Linux-Host aus, auf dem der ONTAP-Mediator-Dienst installiert ist.
Wenn Sie diesen Befehl nicht erreichen können, müssen Sie möglicherweise den Befehl mit dem vollständigen Pfad ausführen, wie im folgenden Beispiel dargestellt:
/usr/local/bin/mediator_username
Ändern Sie den Benutzernamen durch Auswahl einer der folgenden Optionen:
-
Option (a): Führen Sie den Befehl aus
mediator_change_user
Und reagieren Sie auf die Eingabeaufforderungen, wie im folgenden Beispiel gezeigt:[root@mediator-host ~]# mediator_change_user Modify the Mediator API username by entering the following values: Mediator API User Name: mediatoradmin Password: New Mediator API User Name: mediator The account username has been modified successfully. [root@mediator-host ~]#
-
Option (b): Führen Sie den folgenden Befehl aus:
MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD=mediator2 MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user
[root@mediator-host ~]# MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD='mediator2' MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user The account username has been modified successfully. [root@mediator-host ~]#
Ändern Sie das Passwort
Sie können das Passwort wie folgt ändern.
Führen Sie diese Aufgabe auf dem Linux-Host aus, auf dem der ONTAP-Mediator-Dienst installiert ist.
Wenn Sie diesen Befehl nicht erreichen können, müssen Sie möglicherweise den Befehl mit dem vollständigen Pfad ausführen, wie im folgenden Beispiel dargestellt:
/usr/local/bin/mediator_change_password
Ändern Sie das Passwort, indem Sie eine der folgenden Optionen auswählen:
-
Option (A): Führen Sie das aus
mediator_change_password
Befolgen Sie diesen Befehl und antworten Sie auf die Eingabeaufforderungen wie im folgenden Beispiel gezeigt:[root@mediator-host ~]# mediator_change_password Change the Mediator API password by entering the following values: Mediator API User Name: mediatoradmin Old Password: New Password: Confirm Password: The password has been updated successfully. [root@mediator-host ~]#
-
Option (b): Führen Sie den folgenden Befehl aus:
MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password
Das Beispiel zeigt, dass das Passwort von „mediator1“ in „mediator2“ geändert wird.
[root@mediator-host ~]# MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password The password has been updated successfully. [root@mediator-host ~]#
Beenden Sie den ONTAP Mediator-Dienst
So beenden Sie den ONTAP Mediator-Dienst:
-
Stoppen Sie den ONTAP-Vermittler:
systemctl stop ontap_mediator
-
SCST stoppen:
systemctl stop mediator-scst
-
Deaktivieren Sie ONTAP Mediator und SCST:
systemctl diable ontap_mediator mediator-scst
Aktivieren Sie den ONTAP Mediator-Dienst erneut
So aktivieren Sie den ONTAP Mediator-Dienst erneut:
-
Aktivieren Sie ONTAP Mediator und SCST:
systemctl enable ontap_mediator mediator-scst
-
SCST starten:
systemctl start mediator-scst
-
ONTAP Mediator starten:
systemctl start ontap_mediator
Überprüfen Sie, ob der ONTAP Mediator ordnungsgemäß funktioniert
Nach der Installation des ONTAP Mediators sollten Sie überprüfen, ob die ONTAP Mediatordienste ausgeführt werden.
-
Den Status der ONTAP Mediatordienste anzeigen:
-
systemctl status ontap_mediator
[root@scspr1915530002 ~]# systemctl status ontap_mediator ontap_mediator.service - ONTAP Mediator Loaded: loaded (/etc/systemd/system/ontap_mediator.service; enabled; vendor preset: disabled) Active: active (running) since Mon 2022-04-18 10:41:49 EDT; 1 weeks 0 days ago Process: 286710 ExecStop=/bin/kill -s INT $MAINPID (code=exited, status=0/SUCCESS) Main PID: 286712 (uwsgi) Status: "uWSGI is ready" Tasks: 3 (limit: 49473) Memory: 139.2M CGroup: /system.slice/ontap_mediator.service ├─286712 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini ├─286716 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini └─286717 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini [root@scspr1915530002 ~]#
-
systemctl status mediator-scst
[root@scspr1915530002 ~]# systemctl status mediator-scst Loaded: loaded (/etc/systemd/system/mediator-scst.service; enabled; vendor preset: disabled) Active: active (running) since Mon 2022-04-18 10:41:47 EDT; 1 weeks 0 days ago Process: 286595 ExecStart=/etc/init.d/scst start (code=exited, status=0/SUCCESS) Main PID: 286662 (iscsi-scstd) Tasks: 1 (limit: 49473) Memory: 1.2M CGroup: /system.slice/mediator-scst.service └─286662 /usr/local/sbin/iscsi-scstd [root@scspr1915530002 ~]#
-
-
Bestätigen Sie die Ports, die vom ONTAP Mediator-Dienst verwendet werden:
netstat
[root@scspr1905507001 ~]# netstat -anlt | grep -E '3260|31784' tcp 0 0 0.0.0.0:31784 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:3260 0.0.0.0:* LISTEN tcp6 0 0 :::3260 :::* LISTEN
Deinstallieren Sie SCST manuell, um die Hostwartung durchzuführen
Um SCST zu deinstallieren, benötigen Sie das SCST tar-Paket, das für die installierte Version von ONTAP Mediator verwendet wird.
-
Laden Sie das entsprechende SCST-Paket herunter (wie in der folgenden Tabelle gezeigt) und enttar es.
Für diese Version …
Verwenden Sie dieses tar-Bündel…
ONTAP Mediator 1.8
Scst-3.8.0.tar.bz2
ONTAP Mediator 1.7
Scst-3.7.0.tar.bz2
ONTAP Mediator 1.6
Scst-3.7.0.tar.bz2
ONTAP Mediator 1.5
Scst-3.6.0.tar.bz2
ONTAP Mediator 1.4
Scst-3.6.0.tar.bz2
ONTAP Mediator 1.3
Scst-3.5.0.tar.bz2
ONTAP Mediator 1.1
Scst-3.4.0.tar.bz2
ONTAP Mediator 1.0
Scst-3.3.0.tar.bz2
-
Geben Sie die folgenden Befehle im Verzeichnis „scst“ ein:
-
systemctl stop mediator-scst
-
make scstadm_uninstall
-
make iscsi_uninstall
-
make usr_uninstall
-
make scst_uninstall
-
depmod
-
Installieren Sie SCST manuell, um die Hostwartung durchzuführen
Um SCST manuell zu installieren, benötigen Sie das SCST tar-Paket, das für die installierte Version von ONTAP Mediator verwendet wird (siehe Tabelle oben).
-
Geben Sie die folgenden Befehle im Verzeichnis „scst“ ein:
-
make 2release
-
make scst_install
-
make usr_install
-
make iscsi_install
-
make scstadm_install
-
depmod
-
cp scst/src/certs/scst_module_key.der /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/.
-
cp scst/src/certs/scst_module_key.der /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/.
-
patch /etc/init.d/scst < /opt/netapp/lib/ontap_mediator/systemd/scst.patch
-
-
Wenn Secure Boot aktiviert ist, führen Sie vor dem Neustart optional die folgenden Schritte aus:
-
Bestimmen Sie jeden Dateinamen für die Module „scst_vdisk“, „scst“ und „iscsi_scst“:
[root@localhost ~]# modinfo -n scst_vdisk [root@localhost ~]# modinfo -n scst [root@localhost ~]# modinfo -n iscsi_scst
-
Bestimmen Sie die Kernel-Version:
[root@localhost ~]# uname -r
-
Signieren Sie jede Datei mit dem Kernel:
[root@localhost ~]# /usr/src/kernels/<KERNEL-RELEASE>/scripts/sign-file \sha256 \ /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.priv \ /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der \ _module-filename_
-
Installieren Sie den richtigen Schlüssel mit der UEFI-Firmware.
Anweisungen zur Installation des UEFI-Schlüssels finden Sie unter:
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/README.module-signing
Der generierte UEFI-Schlüssel befindet sich unter:
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der
-
-
Führen Sie einen Neustart durch:
reboot
Deinstallieren Sie den ONTAP Mediator-Dienst
Bei Bedarf können Sie den ONTAP Mediator-Dienst entfernen.
Der ONTAP Mediator muss von ONTAP getrennt werden, bevor Sie den ONTAP Mediator Service entfernen.
Sie müssen diese Aufgabe auf dem Linux-Host ausführen, auf dem der ONTAP-Mediator-Dienst installiert ist.
Wenn Sie diesen Befehl nicht erreichen können, müssen Sie möglicherweise den Befehl mit dem vollständigen Pfad ausführen, wie im folgenden Beispiel dargestellt:
/usr/local/bin/uninstall_ontap_mediator
-
Deinstallieren Sie den ONTAP Mediator-Dienst:
uninstall_ontap_mediator
[root@mediator-host ~]# uninstall_ontap_mediator ONTAP Mediator: Self Extracting Uninstaller + Removing ONTAP Mediator. (Log: /tmp/ontap_mediator.GmRGdA/uninstall_ontap_mediator/remove.log) + Remove successful. [root@mediator-host ~]#
Erstellen Sie ein temporäres selbstsigniertes Zertifikat neu
Sie können ein temporäres selbstsigniertes Zertifikat mithilfe des folgenden Verfahrens neu erstellen.
-
Sie führen diese Aufgabe auf dem Linux-Host aus, auf dem der ONTAP-Mediator-Dienst installiert ist.
-
Sie können diese Aufgabe nur ausführen, wenn die generierten selbstsignierten Zertifikate aufgrund von Änderungen am Hostnamen oder der IP-Adresse des Hosts nach der Installation des ONTAP Mediators veraltet sind.
-
Nachdem das temporäre selbstsignierte Zertifikat durch ein vertrauenswürdiges Zertifikat eines Drittanbieters ersetzt wurde, führen Sie Not mit dieser Aufgabe aus, um ein Zertifikat zu regenerieren. Wenn kein selbstsigniertes Zertifikat vorhanden ist, schlägt dieses Verfahren fehl.
Führen Sie den folgenden Schritt durch, um ein neues temporäres selbstsigniertes Zertifikat für den aktuellen Host zu erstellen:
-
Starten Sie den ONTAP Mediator-Dienst neu:
./make_self_signed_certs.sh overwrite
[root@xyz000123456 ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@xyz000123456 server_config]# ./make_self_signed_certs.sh overwrite Adding Subject Alternative Names to the self-signed server certificate # # OpenSSL example configuration file. Generating self-signed certificates Generating RSA private key, 4096 bit long modulus (2 primes) ..................................................................................................................................................................++++ ........................................................++++ e is 65537 (0x010001) Generating a RSA private key ................................................++++ .............................................................................................................................................++++ writing new private key to 'ontap_mediator_server.key' ----- Signature ok subject=C = US, ST = California, L = San Jose, O = "NetApp, Inc.", OU = ONTAP Core Software, CN = ONTAP Mediator, emailAddress = support@netapp.com Getting CA Private Key
Ersetzen Sie selbstsignierte Zertifikate durch vertrauenswürdige Zertifikate von Drittanbietern
Sie können selbstsignierte Zertifikate durch vertrauenswürdige Zertifikate von Drittanbietern ersetzen.
-
Sie führen diese Aufgabe auf dem Linux-Host aus, auf dem der ONTAP-Mediator-Dienst installiert ist.
-
Sie können diese Aufgabe ausführen, wenn die generierten selbstsignierten Zertifikate durch Zertifikate ersetzt werden müssen, die von einer vertrauenswürdigen untergeordneten Zertifizierungsstelle (CA) erhalten wurden. Um dies zu erreichen, sollten Sie Zugriff auf eine vertrauenswürdige Public-Key-Infrastruktur (PKI) haben.
Schritt 1: Erhalten Sie ein Zertifikat von einem Drittanbieter, der ein CA-Zertifikat ausstellt
Sie können ein Zertifikat von einer PKI-Autorität über das folgende Verfahren erhalten.
Das folgende Beispiel zeigt, wie die selbstsignierten Zertifikatakteure ersetzt werden, nämlich ca.key
, ca.csr
, ca.srl
, und ca.crt
Befindet sich unter /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/
Mit den Zertifikatakteuren von Drittanbietern.
|
Das Beispiel zeigt die Kriterien, die für die für den ONTAP Mediator Service erforderlichen Zertifikate erforderlich sind. Sie können die Zertifikate von einer PKI-Autorität auf eine andere Weise beziehen als bei diesem Verfahren. Passen Sie das Verfahren an Ihre Geschäftsanforderungen an. |
-
Erstellen Sie einen privaten Schlüssel
ca.key
Und eine Konfigurationsdateiopenssl_ca.cnf
Die von der PKI-Autorität zur Erstellung eines Zertifikats verwendet wird.-
Generieren Sie den privaten Schlüssel
ca.key
:Beispiel
openssl genrsa -aes256 -out ca.key 4096
-
Die Konfigurationsdatei
openssl_ca.cnf
(Befindet sich unter/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf
) Definiert die Eigenschaften, die das generierte Zertifikat haben muss.
-
-
Verwenden Sie den privaten Schlüssel und die Konfigurationsdatei, um eine Zertifikatsignierungsanforderung zu erstellen
ca.csr`
:Beispiel:
openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf
[root@scs000216655 server_config]# openssl req -key ca.key -new -config openssl_ca.cnf -out ca.csr Enter pass phrase for ca.key: [root@scs000216655 server_config]# cat ca.csr -----BEGIN CERTIFICATE REQUEST----- MIIE6TCCAtECAQAwgaMxCzAJBgNVBAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlh ... erARKhY9z0e8BHPl3g== -----END CERTIFICATE REQUEST-----
-
Senden Sie die Zertifikatsignierungsanforderung
ca.csr
An eine PKI-Autorität für ihre Unterschrift.Die PKI-Autorität überprüft die Anforderung und signiert den
.csr
, Das Zertifikat wird erstelltca.crt
.Für SnapMirror Business Continuity (SM-BC)-Cluster müssen Sie das Zertifikat hinzufügen ca.crt
Zu einem ONTAP-Cluster. Siehe "Konfigurieren Sie den ONTAP Mediator und Cluster für SM-BC".
Schritt 2: Erstellen Sie ein Serverzertifikat, indem Sie mit einer Drittanbieter-CA-Zertifizierung signieren
Ein Serverzertifikat muss vom privaten Schlüssel signiert sein ca.key
Und das Drittanbieter-Zertifikat ca.crt
. Außerdem die Konfigurationsdatei /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf
Enthält bestimmte Attribute, die die Eigenschaften angeben, die für von OpenSSL ausgegebene Serverzertifikate erforderlich sind.
Die folgenden Befehle können ein Serverzertifikat generieren.
Um ein Serverzertifikat zu generieren, führen Sie die folgenden Befehle aus dem Ordner aus /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
:
openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr
openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA ca.crt -CAkey ca.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt
-CAcreateserial
Option wird verwendet, um die Datei zu generieren ca.srl
.
Schritt 3: Ersetzen Sie neue Drittanbieter-CA-Zertifikat und Server-Zertifikat in ONTAP Mediator-Konfiguration
Die Zertifikatkonfiguration wird dem ONTAP Mediator-Dienst in der Konfigurationsdatei unter bereitgestellt /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml
. Die Datei enthält die folgenden Attribute:
cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt' key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key' ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt' ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key' ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'
-
cert_path
Undkey_path
Sind Serverzertifikatvariablen. -
ca_cert_path
,ca_key_path
, undca_serial_path
Sind CA-Zertifikatvariablen.
-
Ersetzen Sie den
ca.*
Dateien mit den Zertifikaten von Drittanbietern. -
Starten Sie den ONTAP Mediator neu:
systemctl restart ontap_mediator
Schritt 4: Verwenden Sie optional einen anderen Pfad oder Namen für Ihre Drittanbieter-Zertifikate
Sie können Zertifikate von Drittanbietern mit einem anderen Namen als verwenden ca.*
Oder bewahren Sie die Zertifikate von Drittanbietern an einem anderen Ort auf.
-
Konfigurieren Sie die Datei
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml
Um die Standardvariablen im zu überschreibenontap_mediator.config.yaml
Datei:Zum Beispiel, wenn Sie erhalten
intermediate.crt
Von der PKI-Autorität aus und speichern ihren privaten Schlüsselintermediate.key
Und Zertifikatsignierungsanforderungintermediate.csr
An einem Standort/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
, Dann sollte die Datei user_config wie folgt aussehen:[root@scs000216655 server_config]# cat ontap_mediator.user_config.yaml # This config file can be used to override the default settings in ontap_mediator.config.yaml # To override a setting, copy the property key from ontap_mediator.config.yaml to this file and # set the property to the desired value. e.g., # # The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml # # To override this value with 6 mailboxes per target, add the following key/value pair # below this comment: # # 'default_mailboxes_per_target': 6 # cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt' key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key' ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt' ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key' ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'
-
Starten Sie den ONTAP Mediator neu, wenn die Zertifikate in der Konfigurationsdatei aktualisiert werden:
systemctl restart ontap_mediator
Fehlerbehebung bei zertifikatbezogenen Problemen
Sie können bestimmte Eigenschaften der Zertifikate überprüfen.
Überprüfen Sie den Ablauf des Zertifikats
Verwenden Sie den folgenden Befehl, um den Gültigkeitsbereich des Zertifikats zu identifizieren:
[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout Certificate: Data: ... Validity Not Before: Feb 22 19:57:25 2024 GMT Not After : Feb 15 19:57:25 2029 GMT
Überprüfen Sie die X509v3-Erweiterungen in der CA-Zertifizierung
Verwenden Sie den folgenden Befehl, um die X509v3-Erweiterungen in der CA-Zertifizierung zu überprüfen.
Die in definierten Eigenschaften v3_ca
In openssl_ca.cnf
Werden als angezeigt X509v3 extensions
In ca.crt
.
[root@scs000216982 server_config]# pwd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@scs000216982 server_config]# cat openssl_ca.cnf ... [ v3_ca ] subjectKeyIdentifier = hash authorityKeyIdentifier = keyid:always,issuer basicConstraints = critical, CA:true keyUsage = critical, cRLSign, digitalSignature, keyCertSign [root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout Certificate: Data: ... X509v3 extensions: X509v3 Subject Key Identifier: 9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27 X509v3 Authority Key Identifier: keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27 X509v3 Basic Constraints: critical CA:TRUE X509v3 Key Usage: critical Digital Signature, Certificate Sign, CRL Sign
Überprüfen Sie X509v3-Erweiterungen in Serverzertifikaten und Subject Alt-Namen
Der v3_req
Eigenschaften, die in definiert sind openssl_server.cnf
Konfigurationsdatei wird als angezeigt X509v3 extensions
Im Zertifikat ein.
Im folgenden Beispiel können Sie die Variablen im abrufen alt_names
Durch Ausführen der Befehle hostname -A
Und hostname -I
Auf der Linux-VM, auf der der ONTAP-Mediator installiert ist.
Erkundigen Sie sich bei Ihrem Netzwerkadministrator nach den korrekten Werten der Variablen.
[root@scs000216982 server_config]# pwd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@scs000216982 server_config]# cat openssl_server.cnf ... [ v3_req ] basicConstraints = CA:false extendedKeyUsage = serverAuth keyUsage = keyEncipherment, dataEncipherment subjectAltName = @alt_names [ alt_names ] DNS.1 = abc.company.com DNS.2 = abc-v6.company.com IP.1 = 1.2.3.4 IP.2 = abcd:abcd:abcd:abcd:abcd:abcd [root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout Certificate: Data: ... X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Extended Key Usage: TLS Web Server Authentication X509v3 Key Usage: Key Encipherment, Data Encipherment X509v3 Subject Alternative Name: DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd
Vergewissern Sie sich, dass ein privater Schlüssel mit einem Zertifikat übereinstimmt
Sie können überprüfen, ob ein bestimmter privater Schlüssel mit einem Zertifikat übereinstimmt.
Verwenden Sie die folgenden OpenSSL-Befehle auf dem Schlüssel bzw. dem Zertifikat:
[root@scs000216982 server_config]# openssl rsa -noout -modulus -in intermediate.key | openssl md5 Enter pass phrase for intermediate.key: (stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc [root@scs000216982 server_config]# openssl x509 -noout -modulus -in intermediate.crt | openssl md5 (stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
Wenn der -modulus
Attribut für beide Matches zeigt an, dass der private Schlüssel und das Zertifikatpaar kompatibel sind und miteinander arbeiten können.
Überprüfen Sie, ob ein Serverzertifikat aus einem bestimmten CA-Zertifikat erstellt wurde
Mit dem folgenden Befehl können Sie überprüfen, ob das Serverzertifikat aus einem bestimmten CA-Zertifikat erstellt wird.
[root@scs000216982 server_config]# openssl verify -CAfile ca.crt ontap_mediator_server.crt ontap_mediator_server.crt: OK
Wenn die OCSP-Validierung (Online Certificate Status Protocol) verwendet wird, verwenden Sie den Befehl "openssl-Verify".