Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Verwalten des ONTAP Mediators Service

Beitragende
PDFs

Verwalten Sie den ONTAP Mediator-Dienst, einschließlich Ändern der Benutzeranmeldeinformationen, Anhalten und erneutes Aktivieren des Dienstes, Überprüfen des Funktionszustands und Installieren oder Deinstallieren von SCST für die Hostwartung. Sie können auch Zertifikate verwalten, z. B. selbstsignierte Zertifikate neu generieren, diese durch vertrauenswürdige Zertifikate von Drittanbietern ersetzen und Probleme mit Zertifikaten beheben.

Ändern Sie den Benutzernamen

Sie können den Benutzernamen wie folgt ändern.

Über diese Aufgabe

Führen Sie diese Aufgabe auf dem Linux-Host aus, auf dem der ONTAP-Mediator-Dienst installiert ist.

Wenn Sie diesen Befehl nicht erreichen können, müssen Sie möglicherweise den Befehl mit dem vollständigen Pfad ausführen, wie im folgenden Beispiel dargestellt:

/usr/local/bin/mediator_username

Schritte

Ändern Sie den Benutzernamen durch Auswahl einer der folgenden Optionen:

  • Option (a): Führen Sie den Befehl aus mediator_change_user Und reagieren Sie auf die Eingabeaufforderungen, wie im folgenden Beispiel gezeigt:

     [root@mediator-host ~]# mediator_change_user
 Modify the Mediator API username by entering the following values:
     Mediator API User Name: mediatoradmin
                   Password:
 New Mediator API User Name: mediator
 The account username has been modified successfully.
 [root@mediator-host ~]#

  • Option (b): Führen Sie den folgenden Befehl aus:

    MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD=mediator2 MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user

     [root@mediator-host ~]# MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD='mediator2' MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user
 The account username has been modified successfully.
 [root@mediator-host ~]#

Ändern Sie das Passwort

Sie können das Passwort wie folgt ändern.

Über diese Aufgabe

Führen Sie diese Aufgabe auf dem Linux-Host aus, auf dem der ONTAP-Mediator-Dienst installiert ist.

Wenn Sie diesen Befehl nicht erreichen können, müssen Sie möglicherweise den Befehl mit dem vollständigen Pfad ausführen, wie im folgenden Beispiel dargestellt:

/usr/local/bin/mediator_change_password

Schritte

Ändern Sie das Passwort, indem Sie eine der folgenden Optionen auswählen:

  • Option (A): Führen Sie das aus mediator_change_password Befolgen Sie diesen Befehl und antworten Sie auf die Eingabeaufforderungen wie im folgenden Beispiel gezeigt:

     [root@mediator-host ~]# mediator_change_password
 Change the Mediator API password by entering the following values:
    Mediator API User Name: mediatoradmin
              Old Password:
              New Password:
          Confirm Password:
 The password has been updated successfully.
 [root@mediator-host ~]#

  • Option (b): Führen Sie den folgenden Befehl aus:

    MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password

    Das Beispiel zeigt, dass das Passwort von „mediator1“ in „mediator2“ geändert wird.

     [root@mediator-host ~]# MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password
 The password has been updated successfully.
 [root@mediator-host ~]#

Beenden Sie den ONTAP Mediator-Dienst

So beenden Sie den ONTAP Mediator-Dienst:

Schritte

  1. Stoppen Sie den ONTAP-Vermittler:

    systemctl stop ontap_mediator

  2. SCST stoppen:

    systemctl stop mediator-scst

  3. Deaktivieren Sie ONTAP Mediator und SCST:

    systemctl diable ontap_mediator mediator-scst

Aktivieren Sie den ONTAP Mediator-Dienst erneut

So aktivieren Sie den ONTAP Mediator-Dienst erneut:

Schritte

  1. Aktivieren Sie ONTAP Mediator und SCST:

    systemctl enable ontap_mediator mediator-scst

  2. SCST starten:

    systemctl start mediator-scst

  3. ONTAP Mediator starten:

    systemctl start ontap_mediator

Überprüfen Sie, ob der ONTAP Mediator ordnungsgemäß funktioniert

Nach der Installation des ONTAP Mediators sollten Sie überprüfen, ob die ONTAP Mediatordienste ausgeführt werden.

Schritte

  1. Den Status der ONTAP Mediatordienste anzeigen:

    1. systemctl status ontap_mediator

      [root@scspr1915530002 ~]# systemctl status ontap_mediator

 ontap_mediator.service - ONTAP Mediator
Loaded: loaded (/etc/systemd/system/ontap_mediator.service; enabled; vendor preset: disabled)
Active: active (running) since Mon 2022-04-18 10:41:49 EDT; 1 weeks 0 days ago
Process: 286710 ExecStop=/bin/kill -s INT $MAINPID (code=exited, status=0/SUCCESS)
Main PID: 286712 (uwsgi)
Status: "uWSGI is ready"
Tasks: 3 (limit: 49473)
Memory: 139.2M
CGroup: /system.slice/ontap_mediator.service
      ├─286712 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
      ├─286716 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
      └─286717 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini

[root@scspr1915530002 ~]#

    2. systemctl status mediator-scst

      [root@scspr1915530002 ~]# systemctl status mediator-scst
   Loaded: loaded (/etc/systemd/system/mediator-scst.service; enabled; vendor preset: disabled)
   Active: active (running) since Mon 2022-04-18 10:41:47 EDT; 1 weeks 0 days ago
  Process: 286595 ExecStart=/etc/init.d/scst start (code=exited, status=0/SUCCESS)
 Main PID: 286662 (iscsi-scstd)
    Tasks: 1 (limit: 49473)
   Memory: 1.2M
   CGroup: /system.slice/mediator-scst.service
           └─286662 /usr/local/sbin/iscsi-scstd

[root@scspr1915530002 ~]#

  2. Bestätigen Sie die Ports, die vom ONTAP Mediator-Dienst verwendet werden:

    netstat

    [root@scspr1905507001 ~]# netstat -anlt | grep -E '3260|31784'

         tcp   0   0 0.0.0.0:31784   0.0.0.0:*      LISTEN

         tcp   0   0 0.0.0.0:3260    0.0.0.0:*      LISTEN

         tcp6  0   0 :::3260         :::*           LISTEN

Deinstallieren Sie SCST manuell, um die Hostwartung durchzuführen

Um SCST zu deinstallieren, benötigen Sie das SCST tar-Paket, das für die installierte Version von ONTAP Mediator verwendet wird.

Schritte

  1. Laden Sie das entsprechende SCST-Paket herunter (wie in der folgenden Tabelle gezeigt) und enttar es.

    Für diese Version …​

    Verwenden Sie dieses tar-Bündel…​

    ONTAP Mediator 1.8

    Scst-3.8.0.tar.bz2

    ONTAP Mediator 1.7

    Scst-3.7.0.tar.bz2

    ONTAP Mediator 1.6

    Scst-3.7.0.tar.bz2

    ONTAP Mediator 1.5

    Scst-3.6.0.tar.bz2

    ONTAP Mediator 1.4

    Scst-3.6.0.tar.bz2

    ONTAP Mediator 1.3

    Scst-3.5.0.tar.bz2

    ONTAP Mediator 1.1

    Scst-3.4.0.tar.bz2

    ONTAP Mediator 1.0

    Scst-3.3.0.tar.bz2

  2. Geben Sie die folgenden Befehle im Verzeichnis „scst“ ein:

    1. systemctl stop mediator-scst

    2. make scstadm_uninstall

    3. make iscsi_uninstall

    4. make usr_uninstall

    5. make scst_uninstall

    6. depmod

Installieren Sie SCST manuell, um die Hostwartung durchzuführen

Um SCST manuell zu installieren, benötigen Sie das SCST tar-Paket, das für die installierte Version von ONTAP Mediator verwendet wird (siehe Tabelle oben).

  1. Geben Sie die folgenden Befehle im Verzeichnis „scst“ ein:

    1. make 2release

    2. make scst_install

    3. make usr_install

    4. make iscsi_install

    5. make scstadm_install

    6. depmod

    7. cp scst/src/certs/scst_module_key.der /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/.

    8. cp scst/src/certs/scst_module_key.der /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/.

    9. patch /etc/init.d/scst < /opt/netapp/lib/ontap_mediator/systemd/scst.patch

  2. Wenn Secure Boot aktiviert ist, führen Sie vor dem Neustart optional die folgenden Schritte aus:

    1. Bestimmen Sie jeden Dateinamen für die Module „scst_vdisk“, „scst“ und „iscsi_scst“:

      [root@localhost ~]# modinfo -n scst_vdisk
[root@localhost ~]# modinfo -n scst
[root@localhost ~]# modinfo -n iscsi_scst

    2. Bestimmen Sie die Kernel-Version:

      [root@localhost ~]# uname -r

    3. Signieren Sie jede Datei mit dem Kernel:

      [root@localhost ~]# /usr/src/kernels/<KERNEL-RELEASE>/scripts/sign-file \sha256 \
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.priv \
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der \
_module-filename_

    4. Installieren Sie den richtigen Schlüssel mit der UEFI-Firmware.

      Anweisungen zur Installation des UEFI-Schlüssels finden Sie unter:

      /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/README.module-signing

      Der generierte UEFI-Schlüssel befindet sich unter:

    /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der

  3. Führen Sie einen Neustart durch:

    reboot

Deinstallieren Sie den ONTAP Mediator-Dienst

Bei Bedarf können Sie den ONTAP Mediator-Dienst entfernen.

Bevor Sie beginnen

Der ONTAP Mediator muss von ONTAP getrennt werden, bevor Sie den ONTAP Mediator Service entfernen.

Über diese Aufgabe

Sie müssen diese Aufgabe auf dem Linux-Host ausführen, auf dem der ONTAP-Mediator-Dienst installiert ist.

Wenn Sie diesen Befehl nicht erreichen können, müssen Sie möglicherweise den Befehl mit dem vollständigen Pfad ausführen, wie im folgenden Beispiel dargestellt:

/usr/local/bin/uninstall_ontap_mediator

Schritt

  1. Deinstallieren Sie den ONTAP Mediator-Dienst:

    uninstall_ontap_mediator

     [root@mediator-host ~]# uninstall_ontap_mediator

 ONTAP Mediator: Self Extracting Uninstaller

 + Removing ONTAP Mediator. (Log: /tmp/ontap_mediator.GmRGdA/uninstall_ontap_mediator/remove.log)
 + Remove successful.
 [root@mediator-host ~]#

Erstellen Sie ein temporäres selbstsigniertes Zertifikat neu

Sie können ein temporäres selbstsigniertes Zertifikat mithilfe des folgenden Verfahrens neu erstellen.

Über diese Aufgabe

  • Sie führen diese Aufgabe auf dem Linux-Host aus, auf dem der ONTAP-Mediator-Dienst installiert ist.

  • Sie können diese Aufgabe nur ausführen, wenn die generierten selbstsignierten Zertifikate aufgrund von Änderungen am Hostnamen oder der IP-Adresse des Hosts nach der Installation des ONTAP Mediators veraltet sind.

  • Nachdem das temporäre selbstsignierte Zertifikat durch ein vertrauenswürdiges Zertifikat eines Drittanbieters ersetzt wurde, führen Sie Not mit dieser Aufgabe aus, um ein Zertifikat zu regenerieren. Wenn kein selbstsigniertes Zertifikat vorhanden ist, schlägt dieses Verfahren fehl.

Schritt

Führen Sie den folgenden Schritt durch, um ein neues temporäres selbstsigniertes Zertifikat für den aktuellen Host zu erstellen:

  1. Starten Sie den ONTAP Mediator-Dienst neu:

    ./make_self_signed_certs.sh overwrite

    [root@xyz000123456 ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
[root@xyz000123456 server_config]# ./make_self_signed_certs.sh overwrite

Adding Subject Alternative Names to the self-signed server certificate
#
# OpenSSL example configuration file.
Generating self-signed certificates
Generating RSA private key, 4096 bit long modulus (2 primes)
..................................................................................................................................................................++++
........................................................++++
e is 65537 (0x010001)
Generating a RSA private key
................................................++++
.............................................................................................................................................++++
writing new private key to 'ontap_mediator_server.key'
-----
Signature ok
subject=C = US, ST = California, L = San Jose, O = "NetApp, Inc.", OU = ONTAP Core Software, CN = ONTAP Mediator, emailAddress = support@netapp.com
Getting CA Private Key

Ersetzen Sie selbstsignierte Zertifikate durch vertrauenswürdige Zertifikate von Drittanbietern

Sie können selbstsignierte Zertifikate durch vertrauenswürdige Zertifikate von Drittanbietern ersetzen.

Über diese Aufgabe

  • Sie führen diese Aufgabe auf dem Linux-Host aus, auf dem der ONTAP-Mediator-Dienst installiert ist.

  • Sie können diese Aufgabe ausführen, wenn die generierten selbstsignierten Zertifikate durch Zertifikate ersetzt werden müssen, die von einer vertrauenswürdigen untergeordneten Zertifizierungsstelle (CA) erhalten wurden. Um dies zu erreichen, sollten Sie Zugriff auf eine vertrauenswürdige Public-Key-Infrastruktur (PKI) haben.

Schritt 1: Erhalten Sie ein Zertifikat von einem Drittanbieter, der ein CA-Zertifikat ausstellt

Sie können ein Zertifikat von einer PKI-Autorität über das folgende Verfahren erhalten.

Das folgende Beispiel zeigt, wie die selbstsignierten Zertifikatakteure ersetzt werden, nämlich ca.key, ca.csr, ca.srl, und ca.crt Befindet sich unter /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ Mit den Zertifikatakteuren von Drittanbietern.

Hinweis Das Beispiel zeigt die Kriterien, die für die für den ONTAP Mediator Service erforderlichen Zertifikate erforderlich sind. Sie können die Zertifikate von einer PKI-Autorität auf eine andere Weise beziehen als bei diesem Verfahren. Passen Sie das Verfahren an Ihre Geschäftsanforderungen an.
Schritte

  1. Erstellen Sie einen privaten Schlüssel ca.key Und eine Konfigurationsdatei openssl_ca.cnf Die von der PKI-Autorität zur Erstellung eines Zertifikats verwendet wird.

    1. Generieren Sie den privaten Schlüssel ca.key:

      Beispiel

    openssl genrsa -aes256 -out ca.key 4096

    1. Die Konfigurationsdatei openssl_ca.cnf (Befindet sich unter /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf) Definiert die Eigenschaften, die das generierte Zertifikat haben muss.

  2. Verwenden Sie den privaten Schlüssel und die Konfigurationsdatei, um eine Zertifikatsignierungsanforderung zu erstellen ca.csr`:

    Beispiel:

    openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf

    [root@scs000216655 server_config]# openssl req -key ca.key -new -config openssl_ca.cnf -out ca.csr
Enter pass phrase for ca.key:
[root@scs000216655 server_config]# cat ca.csr
-----BEGIN CERTIFICATE REQUEST-----
MIIE6TCCAtECAQAwgaMxCzAJBgNVBAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlh
...
erARKhY9z0e8BHPl3g==
-----END CERTIFICATE REQUEST-----

  3. Senden Sie die Zertifikatsignierungsanforderung ca.csr An eine PKI-Autorität für ihre Unterschrift.

    Die PKI-Autorität überprüft die Anforderung und signiert den .csr, Das Zertifikat wird erstellt ca.crt.

    Hinweis Für SnapMirror Business Continuity (SM-BC)-Cluster müssen Sie das Zertifikat hinzufügen ca.crt Zu einem ONTAP-Cluster. Siehe "Konfigurieren Sie den ONTAP Mediator und Cluster für SM-BC".

Schritt 2: Erstellen Sie ein Serverzertifikat, indem Sie mit einer Drittanbieter-CA-Zertifizierung signieren

Ein Serverzertifikat muss vom privaten Schlüssel signiert sein ca.key Und das Drittanbieter-Zertifikat ca.crt. Außerdem die Konfigurationsdatei /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf Enthält bestimmte Attribute, die die Eigenschaften angeben, die für von OpenSSL ausgegebene Serverzertifikate erforderlich sind.

Die folgenden Befehle können ein Serverzertifikat generieren.

Schritt

Um ein Serverzertifikat zu generieren, führen Sie die folgenden Befehle aus dem Ordner aus /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config:

openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr

openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA ca.crt -CAkey ca.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt

-CAcreateserial Option wird verwendet, um die Datei zu generieren ca.srl.

Schritt 3: Ersetzen Sie neue Drittanbieter-CA-Zertifikat und Server-Zertifikat in ONTAP Mediator-Konfiguration

Die Zertifikatkonfiguration wird dem ONTAP Mediator-Dienst in der Konfigurationsdatei unter bereitgestellt /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml. Die Datei enthält die folgenden Attribute:

cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'

  • cert_path Und key_path Sind Serverzertifikatvariablen.

  • ca_cert_path, ca_key_path, und ca_serial_path Sind CA-Zertifikatvariablen.

Schritte

  1. Ersetzen Sie den ca.* Dateien mit den Zertifikaten von Drittanbietern.

  2. Starten Sie den ONTAP Mediator neu:

    systemctl restart ontap_mediator

Schritt 4: Verwenden Sie optional einen anderen Pfad oder Namen für Ihre Drittanbieter-Zertifikate

Sie können Zertifikate von Drittanbietern mit einem anderen Namen als verwenden ca.* Oder bewahren Sie die Zertifikate von Drittanbietern an einem anderen Ort auf.

Schritte

  1. Konfigurieren Sie die Datei /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml Um die Standardvariablen im zu überschreiben ontap_mediator.config.yaml Datei:

    Zum Beispiel, wenn Sie erhalten intermediate.crt Von der PKI-Autorität aus und speichern ihren privaten Schlüssel intermediate.key Und Zertifikatsignierungsanforderung intermediate.csr An einem Standort /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config, Dann sollte die Datei user_config wie folgt aussehen:

    [root@scs000216655 server_config]# cat  ontap_mediator.user_config.yaml

# This config file can be used to override the default settings in ontap_mediator.config.yaml
# To override a setting, copy the property key from ontap_mediator.config.yaml to this file and
# set the property to the desired value. e.g.,
#
# The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml
#
# To override this value with 6 mailboxes per target, add the following key/value pair
# below this comment:
#
# 'default_mailboxes_per_target': 6
#
cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'

  2. Starten Sie den ONTAP Mediator neu, wenn die Zertifikate in der Konfigurationsdatei aktualisiert werden:

    systemctl restart ontap_mediator

Fehlerbehebung bei zertifikatbezogenen Problemen

Sie können bestimmte Eigenschaften der Zertifikate überprüfen.

Überprüfen Sie den Ablauf des Zertifikats

Verwenden Sie den folgenden Befehl, um den Gültigkeitsbereich des Zertifikats zu identifizieren:

[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...
        Validity
            Not Before: Feb 22 19:57:25 2024 GMT
            Not After : Feb 15 19:57:25 2029 GMT

Überprüfen Sie die X509v3-Erweiterungen in der CA-Zertifizierung

Verwenden Sie den folgenden Befehl, um die X509v3-Erweiterungen in der CA-Zertifizierung zu überprüfen.

Die in definierten Eigenschaften v3_ca In openssl_ca.cnf Werden als angezeigt X509v3 extensions In ca.crt.

[root@scs000216982 server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@scs000216982 server_config]# cat openssl_ca.cnf
...
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, cRLSign, digitalSignature, keyCertSign

[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
            X509v3 Authority Key Identifier:
                keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27

            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign

Überprüfen Sie X509v3-Erweiterungen in Serverzertifikaten und Subject Alt-Namen

Der v3_req Eigenschaften, die in definiert sind openssl_server.cnf Konfigurationsdatei wird als angezeigt X509v3 extensions Im Zertifikat ein.

Im folgenden Beispiel können Sie die Variablen im abrufen alt_names Durch Ausführen der Befehle hostname -A Und hostname -I Auf der Linux-VM, auf der der ONTAP-Mediator installiert ist.

Erkundigen Sie sich bei Ihrem Netzwerkadministrator nach den korrekten Werten der Variablen.

[root@scs000216982 server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@scs000216982 server_config]# cat openssl_server.cnf
...
[ v3_req ]
basicConstraints       = CA:false
extendedKeyUsage       = serverAuth
keyUsage               = keyEncipherment, dataEncipherment
subjectAltName         = @alt_names

[ alt_names ]
DNS.1 = abc.company.com
DNS.2 = abc-v6.company.com
IP.1 = 1.2.3.4
IP.2 = abcd:abcd:abcd:abcd:abcd:abcd

[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...

        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Key Usage:
                Key Encipherment, Data Encipherment
            X509v3 Subject Alternative Name:
                DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd

Vergewissern Sie sich, dass ein privater Schlüssel mit einem Zertifikat übereinstimmt

Sie können überprüfen, ob ein bestimmter privater Schlüssel mit einem Zertifikat übereinstimmt.

Verwenden Sie die folgenden OpenSSL-Befehle auf dem Schlüssel bzw. dem Zertifikat:

[root@scs000216982 server_config]# openssl rsa -noout -modulus -in intermediate.key | openssl md5
Enter pass phrase for intermediate.key:
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
[root@scs000216982 server_config]# openssl x509 -noout -modulus -in intermediate.crt | openssl md5
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc

Wenn der -modulus Attribut für beide Matches zeigt an, dass der private Schlüssel und das Zertifikatpaar kompatibel sind und miteinander arbeiten können.

Überprüfen Sie, ob ein Serverzertifikat aus einem bestimmten CA-Zertifikat erstellt wurde

Mit dem folgenden Befehl können Sie überprüfen, ob das Serverzertifikat aus einem bestimmten CA-Zertifikat erstellt wird.

[root@scs000216982 server_config]# openssl verify -CAfile ca.crt ontap_mediator_server.crt
ontap_mediator_server.crt: OK

Wenn die OCSP-Validierung (Online Certificate Status Protocol) verwendet wird, verwenden Sie den Befehl "openssl-Verify".