Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Verwalten des ONTAP Mediators Service

Beitragende
PDFs

Verwalten Sie den ONTAP Mediator-Dienst, einschließlich Ändern der Benutzeranmeldeinformationen, Anhalten und erneutes Aktivieren des Dienstes, Überprüfen des Funktionszustands und Installieren oder Deinstallieren von SCST für die Hostwartung. Sie können auch Zertifikate verwalten, z. B. selbstsignierte Zertifikate neu generieren, diese durch vertrauenswürdige Zertifikate von Drittanbietern ersetzen und Probleme mit Zertifikaten beheben.

Ändern Sie den Benutzernamen

Sie können den Benutzernamen wie folgt ändern.

Über diese Aufgabe

Führen Sie diese Aufgabe auf dem Linux-Host aus, auf dem der ONTAP-Mediator-Dienst installiert ist.

Wenn Sie diesen Befehl nicht erreichen können, müssen Sie möglicherweise den Befehl mit dem vollständigen Pfad ausführen, wie im folgenden Beispiel dargestellt:

/usr/local/bin/mediator_username

Schritte

Ändern Sie den Benutzernamen durch Auswahl einer der folgenden Optionen:

  • Option (a): Führen Sie den Befehl aus mediator_change_user und antworten Sie auf die Eingabeaufforderungen wie im folgenden Beispiel gezeigt:

     [root@mediator-host ~]# mediator_change_user
 Modify the Mediator API username by entering the following values:
     Mediator API User Name: mediatoradmin
                   Password:
 New Mediator API User Name: mediator
 The account username has been modified successfully.
 [root@mediator-host ~]#

  • Option (b): Führen Sie den folgenden Befehl aus:

    MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD=mediator2 MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user

     [root@mediator-host ~]# MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD='mediator2' MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user
 The account username has been modified successfully.
 [root@mediator-host ~]#

Ändern Sie das Passwort

Sie können das Passwort wie folgt ändern.

Über diese Aufgabe

Führen Sie diese Aufgabe auf dem Linux-Host aus, auf dem der ONTAP-Mediator-Dienst installiert ist.

Wenn Sie diesen Befehl nicht erreichen können, müssen Sie möglicherweise den Befehl mit dem vollständigen Pfad ausführen, wie im folgenden Beispiel dargestellt:

/usr/local/bin/mediator_change_password

Schritte

Ändern Sie das Passwort, indem Sie eine der folgenden Optionen auswählen:

  • Option (a): Führen Sie den mediator_change_password Befehl aus und antworten Sie auf die Eingabeaufforderungen wie im folgenden Beispiel gezeigt:

     [root@mediator-host ~]# mediator_change_password
 Change the Mediator API password by entering the following values:
    Mediator API User Name: mediatoradmin
              Old Password:
              New Password:
          Confirm Password:
 The password has been updated successfully.
 [root@mediator-host ~]#

  • Option (b): Führen Sie den folgenden Befehl aus:

    MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password

    Das Beispiel zeigt, dass das Passwort von „mediator1“ in „mediator2“ geändert wird.

     [root@mediator-host ~]# MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password
 The password has been updated successfully.
 [root@mediator-host ~]#

Beenden Sie den ONTAP Mediator-Dienst

So beenden Sie den ONTAP Mediator-Dienst:

Schritte

  1. Stoppen Sie den ONTAP-Vermittler:

    systemctl stop ontap_mediator

  2. SCST stoppen:

    systemctl stop mediator-scst

  3. Deaktivieren Sie ONTAP Mediator und SCST:

    systemctl diable ontap_mediator mediator-scst

Aktivieren Sie den ONTAP Mediator-Dienst erneut

So aktivieren Sie den ONTAP Mediator-Dienst erneut:

Schritte

  1. Aktivieren Sie ONTAP Mediator und SCST:

    systemctl enable ontap_mediator mediator-scst

  2. SCST starten:

    systemctl start mediator-scst

  3. ONTAP Mediator starten:

    systemctl start ontap_mediator

Überprüfen Sie, ob der ONTAP Mediator ordnungsgemäß funktioniert

Nach der Installation des ONTAP Mediators sollten Sie überprüfen, ob die ONTAP Mediatordienste ausgeführt werden.

Schritte

  1. Den Status der ONTAP Mediatordienste anzeigen:

    1. systemctl status ontap_mediator

      [root@scspr1915530002 ~]# systemctl status ontap_mediator

 ontap_mediator.service - ONTAP Mediator
Loaded: loaded (/etc/systemd/system/ontap_mediator.service; enabled; vendor preset: disabled)
Active: active (running) since Mon 2022-04-18 10:41:49 EDT; 1 weeks 0 days ago
Process: 286710 ExecStop=/bin/kill -s INT $MAINPID (code=exited, status=0/SUCCESS)
Main PID: 286712 (uwsgi)
Status: "uWSGI is ready"
Tasks: 3 (limit: 49473)
Memory: 139.2M
CGroup: /system.slice/ontap_mediator.service
      ├─286712 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
      ├─286716 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
      └─286717 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini

[root@scspr1915530002 ~]#

    2. systemctl status mediator-scst

      [root@scspr1915530002 ~]# systemctl status mediator-scst
   Loaded: loaded (/etc/systemd/system/mediator-scst.service; enabled; vendor preset: disabled)
   Active: active (running) since Mon 2022-04-18 10:41:47 EDT; 1 weeks 0 days ago
  Process: 286595 ExecStart=/etc/init.d/scst start (code=exited, status=0/SUCCESS)
 Main PID: 286662 (iscsi-scstd)
    Tasks: 1 (limit: 49473)
   Memory: 1.2M
   CGroup: /system.slice/mediator-scst.service
           └─286662 /usr/local/sbin/iscsi-scstd

[root@scspr1915530002 ~]#

  2. Bestätigen Sie die Ports, die vom ONTAP Mediator-Dienst verwendet werden:

    netstat

    [root@scspr1905507001 ~]# netstat -anlt | grep -E '3260|31784'

         tcp   0   0 0.0.0.0:31784   0.0.0.0:*      LISTEN

         tcp   0   0 0.0.0.0:3260    0.0.0.0:*      LISTEN

         tcp6  0   0 :::3260         :::*           LISTEN

Deinstallieren Sie SCST manuell, um die Hostwartung durchzuführen

Um SCST zu deinstallieren, benötigen Sie das SCST tar-Paket, das für die installierte Version von ONTAP Mediator verwendet wird.

Schritte

  1. Laden Sie das entsprechende SCST-Paket herunter (wie in der folgenden Tabelle gezeigt) und enttar es.

    Für diese Version …​

    Verwenden Sie dieses tar-Bündel…​

    ONTAP Mediator 1.9

    Scst-3.8.0.tar.bz2

    ONTAP Mediator 1.8

    Scst-3.8.0.tar.bz2

    ONTAP Mediator 1.7

    Scst-3.7.0.tar.bz2

    ONTAP Mediator 1.6

    Scst-3.7.0.tar.bz2

    ONTAP Mediator 1.5

    Scst-3.6.0.tar.bz2

    ONTAP Mediator 1.4

    Scst-3.6.0.tar.bz2

    ONTAP Mediator 1.3

    Scst-3.5.0.tar.bz2

    ONTAP Mediator 1.1

    Scst-3.4.0.tar.bz2

    ONTAP Mediator 1.0

    Scst-3.3.0.tar.bz2

  2. Geben Sie die folgenden Befehle im Verzeichnis „scst“ ein:

    1. systemctl stop mediator-scst

    2. make scstadm_uninstall

    3. make iscsi_uninstall

    4. make usr_uninstall

    5. make scst_uninstall

    6. depmod

Installieren Sie SCST manuell, um die Hostwartung durchzuführen

Um SCST manuell Tabelle obenzu installieren, benötigen Sie das SCST tar-Paket, das für die installierte Version von ONTAP Mediator verwendet wird (siehe ).

  1. Geben Sie die folgenden Befehle im Verzeichnis „scst“ ein:

    1. make 2release

    2. make scst_install

    3. make usr_install

    4. make iscsi_install

    5. make scstadm_install

    6. depmod

    7. cp scst/src/certs/scst_module_key.der /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/

    8. patch /etc/init.d/scst < /opt/netapp/lib/ontap_mediator/systemd/scst.patch

  2. Wenn Secure Boot aktiviert ist, führen Sie vor dem Neustart optional die folgenden Schritte aus:

    1. Bestimmen Sie jeden Dateinamen für die Module „scst_vdisk“, „scst“ und „iscsi_scst“:

      [root@localhost ~]# modinfo -n scst_vdisk
[root@localhost ~]# modinfo -n scst
[root@localhost ~]# modinfo -n iscsi_scst

    2. Bestimmen Sie die Kernel-Version:

      [root@localhost ~]# uname -r

    3. Signieren Sie jede Datei mit dem Kernel:

      [root@localhost ~]# /usr/src/kernels/<KERNEL-RELEASE>/scripts/sign-file \sha256 \
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.priv \
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der \
_module-filename_

    4. Installieren Sie den richtigen Schlüssel mit der UEFI-Firmware.

      Anweisungen zur Installation des UEFI-Schlüssels finden Sie unter:

      /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/README.module-signing

      Der generierte UEFI-Schlüssel befindet sich unter:

    /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der

  3. Führen Sie einen Neustart durch:

    reboot

Deinstallieren Sie den ONTAP Mediator-Dienst

Bei Bedarf können Sie den ONTAP Mediator-Dienst entfernen.

Bevor Sie beginnen

Der ONTAP Mediator muss von ONTAP getrennt werden, bevor Sie den ONTAP Mediator Service entfernen.

Über diese Aufgabe

Sie müssen diese Aufgabe auf dem Linux-Host ausführen, auf dem der ONTAP-Mediator-Dienst installiert ist.

Wenn Sie diesen Befehl nicht erreichen können, müssen Sie möglicherweise den Befehl mit dem vollständigen Pfad ausführen, wie im folgenden Beispiel dargestellt:

/usr/local/bin/uninstall_ontap_mediator

Schritt

  1. Deinstallieren Sie den ONTAP Mediator-Dienst:

    uninstall_ontap_mediator

     [root@mediator-host ~]# uninstall_ontap_mediator

 ONTAP Mediator: Self Extracting Uninstaller

 + Removing ONTAP Mediator. (Log: /tmp/ontap_mediator.GmRGdA/uninstall_ontap_mediator/remove.log)
 + Remove successful.
 [root@mediator-host ~]#

Erstellen Sie ein temporäres selbstsigniertes Zertifikat neu

Ab ONTAP Mediator 1.7 können Sie ein temporäres selbstsigniertes Zertifikat mithilfe des folgenden Verfahrens neu erstellen.

Hinweis Dieses Verfahren wird nur auf Systemen unterstützt, auf denen ONTAP Mediator 1.7 oder höher ausgeführt wird.
Über diese Aufgabe

  • Sie führen diese Aufgabe auf dem Linux-Host aus, auf dem der ONTAP-Mediator-Dienst installiert ist.

  • Sie können diese Aufgabe nur ausführen, wenn die generierten selbstsignierten Zertifikate aufgrund von Änderungen am Hostnamen oder der IP-Adresse des Hosts nach der Installation des ONTAP Mediators veraltet sind.

  • Nachdem das temporäre selbstsignierte Zertifikat durch ein vertrauenswürdiges Zertifikat eines Drittanbieters ersetzt wurde, führen Sie Not mit dieser Aufgabe aus, um ein Zertifikat zu regenerieren. Wenn kein selbstsigniertes Zertifikat vorhanden ist, schlägt dieses Verfahren fehl.

Schritt

Führen Sie den folgenden Schritt durch, um ein neues temporäres selbstsigniertes Zertifikat für den aktuellen Host zu erstellen:

  1. Starten Sie den ONTAP Mediator-Dienst neu:

    ./make_self_signed_certs.sh overwrite

    [root@xyz000123456 ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
[root@xyz000123456 server_config]# ./make_self_signed_certs.sh overwrite

Adding Subject Alternative Names to the self-signed server certificate
#
# OpenSSL example configuration file.
Generating self-signed certificates
Generating RSA private key, 4096 bit long modulus (2 primes)
..................................................................................................................................................................++++
........................................................++++
e is 65537 (0x010001)
Generating a RSA private key
................................................++++
.............................................................................................................................................++++
writing new private key to 'ontap_mediator_server.key'
-----
Signature ok
subject=C = US, ST = California, L = San Jose, O = "NetApp, Inc.", OU = ONTAP Core Software, CN = ONTAP Mediator, emailAddress = support@netapp.com
Getting CA Private Key

Ersetzen Sie selbstsignierte Zertifikate durch vertrauenswürdige Zertifikate von Drittanbietern

Wenn unterstützt, können Sie selbstsignierte Zertifikate durch vertrauenswürdige Zertifikate von Drittanbietern ersetzen.

Achtung

  • Zertifikate von Drittanbietern werden erst ab ONTAP 9.16.1 und einigen früheren ONTAP Patch-Versionen unterstützt. Siehe "NetApp Bugs Online Fehler-ID CONTAP-243278".

  • Zertifikate von Drittanbietern werden nur auf Systemen unterstützt, auf denen ONTAP Mediator 1.7 oder höher ausgeführt wird.
Über diese Aufgabe

  • Sie führen diese Aufgabe auf dem Linux-Host aus, auf dem der ONTAP-Mediator-Dienst installiert ist.

  • Sie können diese Aufgabe ausführen, wenn die generierten selbstsignierten Zertifikate durch Zertifikate ersetzt werden müssen, die von einer vertrauenswürdigen untergeordneten Zertifizierungsstelle (CA) erhalten wurden. Um dies zu erreichen, sollten Sie Zugriff auf eine vertrauenswürdige Public-Key-Infrastruktur (PKI) haben.

  • Die folgende Abbildung zeigt die Zwecke jedes ONTAP Mediatorzertifikats.

    Zweck des ONTAP Mediatorzertifikats

  • Die folgende Abbildung zeigt die Konfiguration für die Einrichtung des Webservers und des ONTAP Mediatorservers.

    Einrichtung des Webservers und Konfiguration des ONTAP Mediator Servers

Schritt 1: Erhalten Sie ein Zertifikat von einem Drittanbieter, der ein CA-Zertifikat ausstellt

Sie können ein Zertifikat von einer PKI-Autorität über das folgende Verfahren erhalten.

Das folgende Beispiel zeigt, wie die selbstsignierten Zertifikatakteure, nämlich ca.key, ca.csr ca.srl und ca.crt bei /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ mit den Zertifikatakteuren von Drittanbietern ersetzt werden.

Hinweis Das Beispiel zeigt die Kriterien, die für die für den ONTAP Mediator Service erforderlichen Zertifikate erforderlich sind. Sie können die Zertifikate von einer PKI-Autorität auf eine andere Weise beziehen als bei diesem Verfahren. Passen Sie das Verfahren an Ihre Geschäftsanforderungen an.
Schritte

  1. Erstellen Sie einen privaten Schlüssel ca.key und eine Konfigurationsdatei openssl_ca.cnf, die von der PKI-Autorität zur Generierung eines Zertifikats verwendet wird.

    1. Generieren Sie den privaten Schlüssel ca.key:

      Beispiel

    openssl genrsa -aes256 -out ca.key 4096

    1. Die Konfigurationsdatei openssl_ca.cnf (unter /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf) definiert die Eigenschaften, über die das generierte Zertifikat verfügen muss.

  2. Verwenden Sie den privaten Schlüssel und die Konfigurationsdatei, um eine Zertifikatsignierungsanforderung zu erstellen ca.csr:

    Beispiel:

    openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf

    [root@scs000216655 server_config]# openssl req -key ca.key -new -config openssl_ca.cnf -out ca.csr
Enter pass phrase for ca.key:
[root@scs000216655 server_config]# cat ca.csr
-----BEGIN CERTIFICATE REQUEST-----
MIIE6TCCAtECAQAwgaMxCzAJBgNVBAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlh
...
erARKhY9z0e8BHPl3g==
-----END CERTIFICATE REQUEST-----

  3. Senden Sie die Zertifikatsignierungsanforderung ca.csr an eine PKI-Autorität zur Signatur.

    Die PKI-Autorität überprüft die Anforderung und signiert den .csr, das Zertifikat zu generieren ca.crt. Darüber hinaus müssen Sie das Zertifikat, das das Zertifikat von der PKI-Behörde signiert hat, erhalten root_ca.crt ca.crt .

    Hinweis Für SnapMirror-Cluster für Business Continuity (SM-BC) müssen Sie einem ONTAP-Cluster die Zertifikate und hinzufügen ca.crt root_ca.crt . Siehe "Konfigurieren Sie den ONTAP Mediator und die Cluster für SnapMirror Active Sync".

Schritt 2: Erstellen Sie ein Serverzertifikat, indem Sie mit einer Drittanbieter-CA-Zertifizierung signieren

Ein Server-Zertifikat muss durch den privaten Schlüssel ca.key und das Drittanbieter-Zertifikat signiert werden ca.crt. Darüber hinaus /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf enthält die Konfigurationsdatei bestimmte Attribute, die die Eigenschaften angeben, die für von OpenSSL ausgegebene Serverzertifikate erforderlich sind.

Die folgenden Befehle können ein Serverzertifikat generieren.

Schritte

  1. Um eine Serverzertifikatsignierungsanforderung (CSR) zu generieren, führen Sie den folgenden Befehl aus dem Ordner aus /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config :

    openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr

  2. um ein Serverzertifikat aus der CSR zu generieren, führen Sie den folgenden Befehl aus dem Ordner aus /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config :

    Hinweis Die ca.crt Dateien und ca.key wurden von einer PKI-Behörde abgerufen. Wenn Sie einen anderen Zertifikatnamen verwenden, z. B. intermediate.crt und intermediate.key, ersetzen Sie ca.crt und ca.key mit intermediate.crt intermediate.key bzw..

    openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA ca.crt -CAkey ca.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt

    • Die -CAcreateserial Option wird verwendet, um die oder-Dateien zu generieren ca.srl intermediate.srl , abhängig vom verwendeten Zertifikatnamen.

Schritt 3: Ersetzen Sie neue Drittanbieter-CA-Zertifikat und Server-Zertifikat in ONTAP Mediator-Konfiguration

Die Zertifikatkonfiguration wird dem ONTAP Mediator-Dienst in der Konfigurationsdatei unter bereitgestellt /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml. Die Datei enthält die folgenden Attribute:

cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'

  • cert_path Und key_path sind Serverzertifikatvariablen.

  • ca_cert_path, ca_key_path Und ca_serial_path sind CA-Zertifikatvariablen.

Schritte

  1. Ersetzen Sie alle ca.* Dateien durch Zertifikate von Drittanbietern.

  2. Erstellen Sie eine Zertifikatskette aus den ca.crt Zertifikaten und ontap_mediator_server.crt :

    cat ontap_mediator_server.crt ca.crt > ontap_mediator_server_chain.crt

  3. Aktualisieren Sie die /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini Datei.

    Aktualisieren Sie die Werte von mediator_cert, mediator_key`und `ca_certificate:

    set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

    set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

    set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_ca.crt

    • Der mediator_cert Wert ist der Pfad der ontap_mediator_server_chain.crt Datei.

    • Das mediator_key value ist der Schlüsselpfad in der ontap_mediator_server.crt Datei, das heißt ontap_mediator_server.key.

    • Der ca_certificate Wert ist der Pfad der root_ca.crt Datei.

  4. Stellen Sie sicher, dass die folgenden Attribute der neu generierten Zertifikate korrekt festgelegt sind:

    • Eigentümer Der Linux-Gruppe: netapp:netapp

    • Linux-Berechtigungen: 600

  5. Starten Sie den ONTAP Mediator neu:

    systemctl restart ontap_mediator

Schritt 4: Verwenden Sie optional einen anderen Pfad oder Namen für Ihre Drittanbieter-Zertifikate

Sie können Zertifikate von Drittanbietern mit einem anderen Namen als verwenden ca.* oder die Zertifikate von Drittanbietern an einem anderen Ort speichern.

Schritte

  1. Konfigurieren Sie die /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml Datei so, dass die standardmäßigen Variablenwerte in der Datei überschrieben ontap_mediator.config.yaml werden.

    Wenn Sie von einer PKI-Autorität erhalten intermediate.crt haben und den privaten Schlüssel am Speicherort speichern intermediate.key /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config, sollte die ontap_mediator.user_config.yaml Datei wie folgt aussehen:

    Hinweis Wenn Sie intermediate.crt das Zertifikat signiert ontap_mediator_server.crt haben, wird die intermediate.srl Datei generiert. Weitere Informationen finden Sie unter Schritt 2: Erstellen Sie ein Serverzertifikat, indem Sie mit einer Drittanbieter-CA-Zertifizierung signieren . 
    [root@scs000216655 server_config]# cat  ontap_mediator.user_config.yaml

# This config file can be used to override the default settings in ontap_mediator.config.yaml
# To override a setting, copy the property key from ontap_mediator.config.yaml to this file and
# set the property to the desired value. e.g.,
#
# The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml
#
# To override this value with 6 mailboxes per target, add the following key/value pair
# below this comment:
#
# 'default_mailboxes_per_target': 6
#
cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'

    1. Wenn Sie eine Zertifikatstruktur verwenden, in der das root_ca.crt Zertifikat ein Zertifikat bereitstellt intermediate.crt , das das Zertifikat signiert ontap_mediator_server.crt , erstellen Sie eine Zertifikatskette aus den intermediate.crt Zertifikaten und ontap_mediator_server.crt :

      Hinweis Sie sollten die Zertifikate und von einer PKI-Behörde erhalten haben, die Sie zuvor im Verfahren erhalten haben intermediate.crt ontap_mediator_server.crt .

      cat ontap_mediator_server.crt intermediate.crt > ontap_mediator_server_chain.crt

    2. Aktualisieren Sie die /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini Datei.

      Aktualisieren Sie die Werte von mediator_cert, mediator_key`und `ca_certificate:

      set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

      set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

      set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_ca.crt

      • Der mediator_cert Wert ist der Pfad der ontap_mediator_server_chain.crt Datei.

      • Der mediator_key Wert ist der Schlüsselpfad in der ontap_mediator_server.crt Datei ontap_mediator_server.key.

      • Der ca_certificate Wert ist der Pfad der root_ca.crt Datei.

        Hinweis Für SnapMirror-Cluster für Business Continuity (SM-BC) müssen Sie einem ONTAP-Cluster die Zertifikate und hinzufügen intermediate.crt root_ca.crt . Siehe "Konfigurieren Sie den ONTAP Mediator und die Cluster für SnapMirror Active Sync".

    3. Stellen Sie sicher, dass die folgenden Attribute der neu generierten Zertifikate korrekt festgelegt sind:

      • Eigentümer Der Linux-Gruppe: netapp:netapp

      • Linux-Berechtigungen: 600

  2. Starten Sie den ONTAP Mediator neu, wenn die Zertifikate in der Konfigurationsdatei aktualisiert werden:

    systemctl restart ontap_mediator

Fehlerbehebung bei zertifikatbezogenen Problemen

Sie können bestimmte Eigenschaften der Zertifikate überprüfen.

Überprüfen Sie den Ablauf des Zertifikats

Verwenden Sie den folgenden Befehl, um den Gültigkeitsbereich des Zertifikats zu identifizieren:

[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...
        Validity
            Not Before: Feb 22 19:57:25 2024 GMT
            Not After : Feb 15 19:57:25 2029 GMT

Überprüfen Sie die X509v3-Erweiterungen in der CA-Zertifizierung

Verwenden Sie den folgenden Befehl, um die X509v3-Erweiterungen in der CA-Zertifizierung zu überprüfen.

Die v3_ca in definierten Eigenschaften openssl_ca.cnf werden wie in angezeigt X509v3 extensions ca.crt.

[root@scs000216982 server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@scs000216982 server_config]# cat openssl_ca.cnf
...
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, cRLSign, digitalSignature, keyCertSign

[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
            X509v3 Authority Key Identifier:
                keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27

            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign

Überprüfen Sie X509v3-Erweiterungen in Serverzertifikaten und Subject Alt-Namen

Die v3_req in der openssl_server.cnf Konfigurationsdatei definierten Eigenschaften werden als X509v3 extensions im Zertifikat angezeigt.

Im folgenden Beispiel können Sie die Variablen in den alt_names Abschnitten abrufen, indem Sie die Befehle hostname -A und hostname -I auf der Linux VM ausführen, auf der der ONTAP-Mediator installiert ist.

Erkundigen Sie sich bei Ihrem Netzwerkadministrator nach den korrekten Werten der Variablen.

[root@scs000216982 server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@scs000216982 server_config]# cat openssl_server.cnf
...
[ v3_req ]
basicConstraints       = CA:false
extendedKeyUsage       = serverAuth
keyUsage               = keyEncipherment, dataEncipherment
subjectAltName         = @alt_names

[ alt_names ]
DNS.1 = abc.company.com
DNS.2 = abc-v6.company.com
IP.1 = 1.2.3.4
IP.2 = abcd:abcd:abcd:abcd:abcd:abcd

[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...

        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Key Usage:
                Key Encipherment, Data Encipherment
            X509v3 Subject Alternative Name:
                DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd

Vergewissern Sie sich, dass ein privater Schlüssel mit einem Zertifikat übereinstimmt

Sie können überprüfen, ob ein bestimmter privater Schlüssel mit einem Zertifikat übereinstimmt.

Verwenden Sie die folgenden OpenSSL-Befehle auf dem Schlüssel bzw. dem Zertifikat:

[root@scs000216982 server_config]# openssl rsa -noout -modulus -in intermediate.key | openssl md5
Enter pass phrase for intermediate.key:
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
[root@scs000216982 server_config]# openssl x509 -noout -modulus -in intermediate.crt | openssl md5
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc

Wenn das -modulus Attribut für beide übereinstimmen, zeigt es an, dass der private Schlüssel und das Zertifikatspaar kompatibel sind und miteinander arbeiten können.

Überprüfen Sie, ob ein Serverzertifikat aus einem bestimmten CA-Zertifikat erstellt wurde

Mit dem folgenden Befehl können Sie überprüfen, ob das Serverzertifikat aus einem bestimmten CA-Zertifikat erstellt wird.

[root@scs000216982 server_config]# openssl verify -CAfile ca.crt ontap_mediator_server.crt
ontap_mediator_server.crt: OK

Wenn die OCSP-Validierung (Online Certificate Status Protocol) verwendet wird, verwenden Sie den Befehl "openssl-Verify".