Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

ONTAP Mediator verwalten

Beitragende
PDFs

Verwalten Sie ONTAP Mediator, einschließlich der Änderung der Benutzeranmeldeinformationen, des Stoppens und erneuten Aktivierens des Dienstes, der Überprüfung seines Zustands und der Installation oder Deinstallation von SCST zur Hostwartung. Sie können auch Zertifikate verwalten, z. B. selbstsignierte Zertifikate neu generieren, diese durch vertrauenswürdige Zertifikate von Drittanbietern ersetzen und Probleme mit Zertifikaten beheben.

Ändern Sie den Benutzernamen

Sie können den Benutzernamen wie folgt ändern.

Über diese Aufgabe

Führen Sie diese Aufgabe auf dem Linux-Host aus, auf dem Sie ONTAP Mediator installiert haben.

Wenn Sie diesen Befehl nicht erreichen können, müssen Sie möglicherweise den Befehl mit dem vollständigen Pfad ausführen, wie im folgenden Beispiel dargestellt:

/usr/local/bin/mediator_username

Schritte

Ändern Sie den Benutzernamen durch Auswahl einer der folgenden Optionen:

  • Option (a): Führen Sie den Befehl aus mediator_change_user und antworten Sie auf die Eingabeaufforderungen wie im folgenden Beispiel gezeigt:

     [root@mediator-host ~]# mediator_change_user
 Modify the Mediator API username by entering the following values:
     Mediator API User Name: mediatoradmin
                   Password:
 New Mediator API User Name: mediator
 The account username has been modified successfully.
 [root@mediator-host ~]#

  • Option (b): Führen Sie den folgenden Befehl aus:

    MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD=mediator2 MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user

     [root@mediator-host ~]# MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD='mediator2' MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user
 The account username has been modified successfully.
 [root@mediator-host ~]#

Ändern Sie das Passwort

Sie können das Passwort wie folgt ändern.

Über diese Aufgabe

Führen Sie diese Aufgabe auf dem Linux-Host aus, auf dem Sie ONTAP Mediator installiert haben.

Wenn Sie diesen Befehl nicht erreichen können, müssen Sie möglicherweise den Befehl mit dem vollständigen Pfad ausführen, wie im folgenden Beispiel dargestellt:

/usr/local/bin/mediator_change_password

Schritte

Ändern Sie das Passwort, indem Sie eine der folgenden Optionen auswählen:

  • Option (a): Führen Sie den mediator_change_password Befehl aus und antworten Sie auf die Eingabeaufforderungen wie im folgenden Beispiel gezeigt:

     [root@mediator-host ~]# mediator_change_password
 Change the Mediator API password by entering the following values:
    Mediator API User Name: mediatoradmin
              Old Password:
              New Password:
          Confirm Password:
 The password has been updated successfully.
 [root@mediator-host ~]#

  • Option (b): Führen Sie den folgenden Befehl aus:

    MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password

    Das Beispiel zeigt, dass das Passwort von „mediator1“ in „mediator2“ geändert wird.

     [root@mediator-host ~]# MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password
 The password has been updated successfully.
 [root@mediator-host ~]#

Stoppen Sie ONTAP Mediator

Um ONTAP Mediator zu stoppen, führen Sie die folgenden Schritte aus:

Schritte

  1. Stoppen Sie ONTAP Mediator:

    systemctl stop ontap_mediator

  2. SCST stoppen:

    systemctl stop mediator-scst

  3. Deaktivieren Sie ONTAP Mediator und SCST:

    systemctl diable ontap_mediator mediator-scst

ONTAP Mediator erneut aktivieren

Um ONTAP Mediator wieder zu aktivieren, führen Sie die folgenden Schritte aus:

Schritte

  1. Aktivieren Sie ONTAP Mediator und SCST:

    systemctl enable ontap_mediator mediator-scst

  2. SCST starten:

    systemctl start mediator-scst

  3. ONTAP Mediator starten:

    systemctl start ontap_mediator

Überprüfen Sie, ob ONTAP Mediator fehlerfrei ist

Überprüfen Sie nach der Installation von ONTAP Mediator, ob es erfolgreich ausgeführt wird.

Schritte

  1. Zeigen Sie den Status von ONTAP Mediator an:

    1. systemctl status ontap_mediator

      [root@scspr1915530002 ~]# systemctl status ontap_mediator

 ontap_mediator.service - ONTAP Mediator
Loaded: loaded (/etc/systemd/system/ontap_mediator.service; enabled; vendor preset: disabled)
Active: active (running) since Mon 2022-04-18 10:41:49 EDT; 1 weeks 0 days ago
Process: 286710 ExecStop=/bin/kill -s INT $MAINPID (code=exited, status=0/SUCCESS)
Main PID: 286712 (uwsgi)
Status: "uWSGI is ready"
Tasks: 3 (limit: 49473)
Memory: 139.2M
CGroup: /system.slice/ontap_mediator.service
      ├─286712 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
      ├─286716 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
      └─286717 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini

[root@scspr1915530002 ~]#

    2. systemctl status mediator-scst

      [root@scspr1915530002 ~]# systemctl status mediator-scst
   Loaded: loaded (/etc/systemd/system/mediator-scst.service; enabled; vendor preset: disabled)
   Active: active (running) since Mon 2022-04-18 10:41:47 EDT; 1 weeks 0 days ago
  Process: 286595 ExecStart=/etc/init.d/scst start (code=exited, status=0/SUCCESS)
 Main PID: 286662 (iscsi-scstd)
    Tasks: 1 (limit: 49473)
   Memory: 1.2M
   CGroup: /system.slice/mediator-scst.service
           └─286662 /usr/local/sbin/iscsi-scstd

[root@scspr1915530002 ~]#

  2. Bestätigen Sie die von ONTAP Mediator verwendeten Ports:

    netstat

    [root@scspr1905507001 ~]# netstat -anlt | grep -E '3260|31784'

         tcp   0   0 0.0.0.0:31784   0.0.0.0:*      LISTEN

         tcp   0   0 0.0.0.0:3260    0.0.0.0:*      LISTEN

         tcp6  0   0 :::3260         :::*           LISTEN

Deinstallieren Sie SCST manuell, um die Hostwartung durchzuführen

Um SCST zu deinstallieren, benötigen Sie das SCST tar-Paket, das für die installierte Version von ONTAP Mediator verwendet wird.

Schritte

  1. Laden Sie das entsprechende SCST-Paket herunter (wie in der folgenden Tabelle gezeigt) und enttar es.

    Für diese Version …​

    Verwenden Sie dieses tar-Bündel…​

    ONTAP Mediator 1.9

    Scst-3.8.0.tar.bz2

    ONTAP Mediator 1.8

    Scst-3.8.0.tar.bz2

    ONTAP Mediator 1.7

    Scst-3.7.0.tar.bz2

    ONTAP Mediator 1.6

    Scst-3.7.0.tar.bz2

    ONTAP Mediator 1.5

    Scst-3.6.0.tar.bz2

    ONTAP Mediator 1.4

    Scst-3.6.0.tar.bz2

    ONTAP Mediator 1.3

    Scst-3.5.0.tar.bz2

    ONTAP Mediator 1.1

    Scst-3.4.0.tar.bz2

    ONTAP Mediator 1.0

    Scst-3.3.0.tar.bz2

  2. Geben Sie die folgenden Befehle im Verzeichnis „scst“ ein:

    1. systemctl stop mediator-scst

    2. make scstadm_uninstall

    3. make iscsi_uninstall

    4. make usr_uninstall

    5. make scst_uninstall

    6. depmod

Installieren Sie SCST manuell, um die Hostwartung durchzuführen

Um SCST manuell Tabelle obenzu installieren, benötigen Sie das SCST tar-Paket, das für die installierte Version von ONTAP Mediator verwendet wird (siehe ).

  1. Geben Sie die folgenden Befehle im Verzeichnis „scst“ ein:

    1. make 2release

    2. make scst_install

    3. make usr_install

    4. make iscsi_install

    5. make scstadm_install

    6. depmod

    7. cp scst/src/certs/scst_module_key.der /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/

    8. patch /etc/init.d/scst < /opt/netapp/lib/ontap_mediator/systemd/scst.patch

  2. Wenn Secure Boot aktiviert ist, führen Sie vor dem Neustart optional die folgenden Schritte aus:

    1. Bestimmen Sie jeden Dateinamen für die Module „scst_vdisk“, „scst“ und „iscsi_scst“:

      [root@localhost ~]# modinfo -n scst_vdisk
[root@localhost ~]# modinfo -n scst
[root@localhost ~]# modinfo -n iscsi_scst

    2. Bestimmen Sie die Kernel-Version:

      [root@localhost ~]# uname -r

    3. Signieren Sie jede Datei mit dem Kernel:

      [root@localhost ~]# /usr/src/kernels/<KERNEL-RELEASE>/scripts/sign-file \sha256 \
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.priv \
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der \
_module-filename_

    4. Installieren Sie den richtigen Schlüssel mit der UEFI-Firmware.

      Anweisungen zur Installation des UEFI-Schlüssels finden Sie unter:

      /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/README.module-signing

      Der generierte UEFI-Schlüssel befindet sich unter:

    /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der

  3. Führen Sie einen Neustart durch:

    reboot

Deinstallieren Sie ONTAP Mediator

Bei Bedarf können Sie ONTAP Mediator entfernen.

Bevor Sie beginnen

Sie müssen ONTAP Mediator von ONTAP trennen, bevor Sie es entfernen.

Über diese Aufgabe

Führen Sie diese Aufgabe auf dem Linux-Host aus, auf dem Sie ONTAP Mediator installiert haben.

Wenn Sie diesen Befehl nicht erreichen können, müssen Sie möglicherweise den Befehl mit dem vollständigen Pfad ausführen, wie im folgenden Beispiel dargestellt:

/usr/local/bin/uninstall_ontap_mediator

Schritt

  1. Deinstallieren Sie ONTAP Mediator:

    uninstall_ontap_mediator

     [root@mediator-host ~]# uninstall_ontap_mediator

 ONTAP Mediator: Self Extracting Uninstaller

 + Removing ONTAP Mediator. (Log: /tmp/ontap_mediator.GmRGdA/uninstall_ontap_mediator/remove.log)
 + Remove successful.
 [root@mediator-host ~]#

Erstellen Sie ein temporäres selbstsigniertes Zertifikat neu

Ab ONTAP Mediator 1.7 können Sie ein temporäres selbstsigniertes Zertifikat mithilfe des folgenden Verfahrens neu erstellen.

Hinweis Dieses Verfahren wird nur auf Systemen unterstützt, auf denen ONTAP Mediator 1.7 oder höher ausgeführt wird.
Über diese Aufgabe

  • Führen Sie diese Aufgabe auf dem Linux-Host aus, auf dem Sie ONTAP Mediator installiert haben.

  • Sie können diese Aufgabe nur ausführen, wenn die generierten selbstsignierten Zertifikate aufgrund von Änderungen am Hostnamen oder der IP-Adresse des Hosts nach der Installation von ONTAP Mediator veraltet sind.

  • Nachdem das temporäre selbstsignierte Zertifikat durch ein vertrauenswürdiges Zertifikat eines Drittanbieters ersetzt wurde, führen Sie Not mit dieser Aufgabe aus, um ein Zertifikat zu regenerieren. Wenn kein selbstsigniertes Zertifikat vorhanden ist, schlägt dieses Verfahren fehl.

Schritt

Führen Sie den folgenden Schritt durch, um ein neues temporäres selbstsigniertes Zertifikat für den aktuellen Host zu erstellen:

  1. Starten Sie ONTAP Mediator neu:

    ./make_self_signed_certs.sh overwrite

    [root@xyz000123456 ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
[root@xyz000123456 server_config]# ./make_self_signed_certs.sh overwrite

Adding Subject Alternative Names to the self-signed server certificate
#
# OpenSSL example configuration file.
Generating self-signed certificates
Generating RSA private key, 4096 bit long modulus (2 primes)
..................................................................................................................................................................++++
........................................................++++
e is 65537 (0x010001)
Generating a RSA private key
................................................++++
.............................................................................................................................................++++
writing new private key to 'ontap_mediator_server.key'
-----
Signature ok
subject=C = US, ST = California, L = San Jose, O = "NetApp, Inc.", OU = ONTAP Core Software, CN = ONTAP Mediator, emailAddress = support@netapp.com
Getting CA Private Key

Ersetzen Sie selbstsignierte Zertifikate durch vertrauenswürdige Zertifikate von Drittanbietern

Wenn unterstützt, können Sie selbstsignierte Zertifikate durch vertrauenswürdige Zertifikate von Drittanbietern ersetzen.

Achtung

  • Zertifikate von Drittanbietern werden erst ab ONTAP 9.16.1 und einigen früheren ONTAP Patch-Versionen unterstützt. Siehe "NetApp Bugs Online Fehler-ID CONTAP-243278".

  • Zertifikate von Drittanbietern werden nur auf Systemen unterstützt, auf denen ONTAP Mediator 1.7 oder höher ausgeführt wird.
Über diese Aufgabe

  • Führen Sie diese Aufgabe auf dem Linux-Host aus, auf dem Sie ONTAP Mediator installiert haben.

  • Sie können diese Aufgabe ausführen, wenn die generierten selbstsignierten Zertifikate durch Zertifikate ersetzt werden müssen, die von einer vertrauenswürdigen untergeordneten Zertifizierungsstelle (CA) erhalten wurden. Um dies zu erreichen, sollten Sie Zugriff auf eine vertrauenswürdige Public-Key-Infrastruktur (PKI) haben.

  • Die folgende Abbildung zeigt die Zwecke jedes ONTAP Mediatorzertifikats.

    Zweck des ONTAP Mediatorzertifikats

  • Das folgende Bild zeigt die Konfiguration für die Einrichtung des Webservers und des ONTAP Mediators.

    Webserver-Setup und ONTAP Mediator-Setup-Konfiguration

Schritt 1: Erhalten Sie ein Zertifikat von einem Drittanbieter, der ein CA-Zertifikat ausstellt

Sie können ein Zertifikat von einer PKI-Autorität über das folgende Verfahren erhalten.

Das folgende Beispiel zeigt, wie die selbstsignierten Zertifikatakteure durch die Zertifikatakteure von Drittanbietern ersetzt werden, die sich unter befinden /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/.

Hinweis

Das Beispiel veranschaulicht die notwendigen Kriterien für die für ONTAP Mediator erforderlichen Zertifikate. Sie können die Zertifikate von einer PKI-Autorität auf eine andere Weise beziehen als bei diesem Verfahren. Passen Sie das Verfahren an Ihre Geschäftsanforderungen an.
ONTAP Mediator 1.9 und höher

  1. Erstellen Sie einen privaten Schlüssel intermediate.key und eine Konfigurationsdatei openssl_ca.cnf, die von der PKI-Autorität zur Generierung eines Zertifikats verwendet wird.

    1. Generieren Sie den privaten Schlüssel intermediate.key:

      Beispiel

    openssl genrsa -aes256 -out intermediate.key 4096

    1. Die Konfigurationsdatei openssl_ca.cnf (unter /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf) definiert die Eigenschaften, über die das generierte Zertifikat verfügen muss.

  2. Verwenden Sie den privaten Schlüssel und die Konfigurationsdatei, um eine Zertifikatsignierungsanforderung zu erstellen intermediate.csr:

    Beispiel:

    openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf

    [root@scs000216655 server_config]# openssl req -key intermediate.key -new -config openssl_ca.cnf -out intermediate.csr
Enter pass phrase for intermediate.key:
[root@scs000216655 server_config]# cat intermediate.csr
-----BEGIN CERTIFICATE REQUEST-----
<certificate_value>
-----END CERTIFICATE REQUEST-----

  3. Senden Sie die Zertifikatsignierungsanforderung intermediate.csr an eine PKI-Autorität zur Signatur.

    Die PKI-Autorität überprüft die Anforderung und signiert den .csr, das Zertifikat zu generieren intermediate.crt. Darüber hinaus müssen Sie das Zertifikat, das das Zertifikat von der PKI-Behörde signiert hat, erhalten root_intermediate.crt intermediate.crt .

    Hinweis Für SnapMirror-Cluster für Business Continuity (SM-BC) müssen Sie einem ONTAP-Cluster die Zertifikate und hinzufügen intermediate.crt root_intermediate.crt . Siehe "Konfigurieren Sie ONTAP Mediator und Cluster für SnapMirror Active Sync".
ONTAP Mediator 1.8 und früher

  1. Erstellen Sie einen privaten Schlüssel ca.key und eine Konfigurationsdatei openssl_ca.cnf, die von der PKI-Autorität zur Generierung eines Zertifikats verwendet wird.

    1. Generieren Sie den privaten Schlüssel ca.key:

      Beispiel

    openssl genrsa -aes256 -out ca.key 4096

    1. Die Konfigurationsdatei openssl_ca.cnf (unter /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf) definiert die Eigenschaften, über die das generierte Zertifikat verfügen muss.

  2. Verwenden Sie den privaten Schlüssel und die Konfigurationsdatei, um eine Zertifikatsignierungsanforderung zu erstellen ca.csr:

    Beispiel:

    openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf

    [root@scs000216655 server_config]# openssl req -key ca.key -new -config openssl_ca.cnf -out ca.csr
Enter pass phrase for ca.key:
[root@scs000216655 server_config]# cat ca.csr
-----BEGIN CERTIFICATE REQUEST-----
<certificate_value>
-----END CERTIFICATE REQUEST-----

  3. Senden Sie die Zertifikatsignierungsanforderung ca.csr an eine PKI-Autorität zur Signatur.

    Die PKI-Autorität überprüft die Anforderung und signiert den .csr, das Zertifikat zu generieren ca.crt. Darüber hinaus müssen Sie das Zertifikat von der PKI-Behörde erhalten root_ca.crt that signed the `ca.crt.

    Hinweis Für SnapMirror-Cluster für Business Continuity (SM-BC) müssen Sie einem ONTAP-Cluster die Zertifikate und hinzufügen ca.crt root_ca.crt . Siehe "Konfigurieren Sie ONTAP Mediator und Cluster für SnapMirror Active Sync".

Schritt 2: Erstellen Sie ein Serverzertifikat, indem Sie mit einer Drittanbieter-CA-Zertifizierung signieren

ONTAP Mediator 1.9 und höher

Ein Server-Zertifikat muss durch den privaten Schlüssel intermediate.key und das Drittanbieter-Zertifikat signiert werden intermediate.crt. Darüber hinaus /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf enthält die Konfigurationsdatei bestimmte Attribute, die die Eigenschaften angeben, die für von OpenSSL ausgegebene Serverzertifikate erforderlich sind.

Die folgenden Befehle können ein Serverzertifikat generieren.

Schritte

  1. Um eine Serverzertifikatsignierungsanforderung (CSR) zu generieren, führen Sie den folgenden Befehl aus dem Ordner aus /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config :

    openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr

  2. um ein Serverzertifikat aus der CSR zu generieren, führen Sie den folgenden Befehl aus dem Ordner aus /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config :

    Hinweis Diese Dateien wurden von einer PKI-Behörde abgerufen. Wenn Sie einen anderen Zertifikatnamen verwenden, ersetzen Sie intermediate.crt und intermediate.key durch die entsprechenden Dateinamen.

    openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA intermediate.crt -CAkey intermediate.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt

    • Die -CAcreateserial Option wird verwendet, um die Dateien zu generieren intermediate.srl.

ONTAP Mediator 1.8 und früher

Ein Server-Zertifikat muss durch den privaten Schlüssel ca.key und das Drittanbieter-Zertifikat signiert werden ca.crt. Darüber hinaus /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf enthält die Konfigurationsdatei bestimmte Attribute, die die Eigenschaften angeben, die für von OpenSSL ausgegebene Serverzertifikate erforderlich sind.

Die folgenden Befehle können ein Serverzertifikat generieren.

Schritte

  1. Um eine Serverzertifikatsignierungsanforderung (CSR) zu generieren, führen Sie den folgenden Befehl aus dem Ordner aus /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config :

    openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr

  2. um ein Serverzertifikat aus der CSR zu generieren, führen Sie den folgenden Befehl aus dem Ordner aus /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config :

    Hinweis Diese Dateien wurden von einer PKI-Behörde abgerufen. Wenn Sie einen anderen Zertifikatnamen verwenden, ersetzen Sie ca.crt und ca.key durch die entsprechenden Dateinamen.

    openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA ca.crt -CAkey ca.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt

    • Die -CAcreateserial Option wird verwendet, um die Dateien zu generieren ca.srl.

Schritt 3: Ersetzen Sie neue Drittanbieter-CA-Zertifikat und Server-Zertifikat in ONTAP Mediator-Konfiguration

ONTAP Mediator 1.9 und höher

Die Zertifikatskonfiguration wird ONTAP Mediator in der Konfigurationsdatei bereitgestellt, die sich unter befindet. /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml . Die Datei enthält die folgenden Attribute:

cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'

  • cert_path Und key_path sind Serverzertifikatvariablen.

  • ca_cert_path, ca_key_path Und ca_serial_path sind CA-Zertifikatvariablen.

Schritte

  1. Ersetzen Sie alle intermediate.* Dateien durch Zertifikate von Drittanbietern.

  2. Erstellen Sie eine Zertifikatskette aus den intermediate.crt Zertifikaten und ontap_mediator_server.crt :

    cat ontap_mediator_server.crt intermediate.crt > ontap_mediator_server_chain.crt

  3. Aktualisieren Sie die /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini Datei.

    Aktualisieren Sie die Werte von mediator_cert, mediator_key`und `ca_certificate:

    set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

    set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

    set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_intermediate.crt

    • Der mediator_cert Wert ist der Pfad der ontap_mediator_server_chain.crt Datei.

    • Das mediator_key value ist der Schlüsselpfad in der ontap_mediator_server.crt Datei, das heißt ontap_mediator_server.key.

    • Der ca_certificate Wert ist der Pfad der root_intermediate.crt Datei.

  4. Stellen Sie sicher, dass die folgenden Attribute der neu generierten Zertifikate korrekt festgelegt sind:

    • Eigentümer Der Linux-Gruppe: netapp:netapp

    • Linux-Berechtigungen: 600

  5. Starten Sie ONTAP Mediator neu:

    systemctl restart ontap_mediator

ONTAP Mediator 1.8 und früher

Die Zertifikatskonfiguration wird ONTAP Mediator in der Konfigurationsdatei bereitgestellt, die sich unter befindet. /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml . Die Datei enthält die folgenden Attribute:

cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'

  • cert_path Und key_path sind Serverzertifikatvariablen.

  • ca_cert_path, ca_key_path Und ca_serial_path sind CA-Zertifikatvariablen.

Schritte

  1. Ersetzen Sie alle ca.* Dateien durch Zertifikate von Drittanbietern.

  2. Erstellen Sie eine Zertifikatskette aus den ca.crt Zertifikaten und ontap_mediator_server.crt :

    cat ontap_mediator_server.crt ca.crt > ontap_mediator_server_chain.crt

  3. Aktualisieren Sie die /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini Datei.

    Aktualisieren Sie die Werte von mediator_cert, mediator_key`und `ca_certificate:

    set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

    set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

    set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_ca.crt

    • Der mediator_cert Wert ist der Pfad der ontap_mediator_server_chain.crt Datei.

    • Das mediator_key value ist der Schlüsselpfad in der ontap_mediator_server.crt Datei, das heißt ontap_mediator_server.key.

    • Der ca_certificate Wert ist der Pfad der root_ca.crt Datei.

  4. Stellen Sie sicher, dass die folgenden Attribute der neu generierten Zertifikate korrekt festgelegt sind:

    • Eigentümer Der Linux-Gruppe: netapp:netapp

    • Linux-Berechtigungen: 600

  5. Starten Sie ONTAP Mediator neu:

    systemctl restart ontap_mediator

Schritt 4: Verwenden Sie optional einen anderen Pfad oder Namen für Ihre Drittanbieter-Zertifikate

ONTAP Mediator 1.9 und höher

Sie können Zertifikate von Drittanbietern mit einem anderen Namen als verwenden intermediate.* oder die Zertifikate von Drittanbietern an einem anderen Ort speichern.

Schritte

  1. Konfigurieren Sie die /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml Datei so, dass die standardmäßigen Variablenwerte in der Datei überschrieben ontap_mediator.config.yaml werden.

    Wenn Sie von einer PKI-Autorität erhalten intermediate.crt haben und den privaten Schlüssel am Speicherort speichern intermediate.key /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config, sollte die ontap_mediator.user_config.yaml Datei wie folgt aussehen:

    Hinweis Wenn Sie intermediate.crt das Zertifikat signiert ontap_mediator_server.crt haben, wird die intermediate.srl Datei generiert. Weitere Informationen finden Sie unter Schritt 2: Erstellen Sie ein Serverzertifikat, indem Sie mit einer Drittanbieter-CA-Zertifizierung signieren . 
    [root@scs000216655 server_config]# cat  ontap_mediator.user_config.yaml

# This config file can be used to override the default settings in ontap_mediator.config.yaml
# To override a setting, copy the property key from ontap_mediator.config.yaml to this file and
# set the property to the desired value. e.g.,
#
# The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml
#
# To override this value with 6 mailboxes per target, add the following key/value pair
# below this comment:
#
# 'default_mailboxes_per_target': 6
#
cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'

    1. Wenn Sie eine Zertifikatstruktur verwenden, in der das root_intermediate.crt Zertifikat ein Zertifikat bereitstellt intermediate.crt , das das Zertifikat signiert ontap_mediator_server.crt , erstellen Sie eine Zertifikatskette aus den intermediate.crt Zertifikaten und ontap_mediator_server.crt :

      Hinweis Sie sollten die Zertifikate und von einer PKI-Behörde erhalten haben, die Sie zuvor im Verfahren erhalten haben intermediate.crt ontap_mediator_server.crt .

      cat ontap_mediator_server.crt intermediate.crt > ontap_mediator_server_chain.crt

    2. Aktualisieren Sie die /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini Datei.

      Aktualisieren Sie die Werte von mediator_cert, mediator_key`und `ca_certificate:

      set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

      set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

      set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_intermediate.crt

      • Der mediator_cert Wert ist der Pfad der ontap_mediator_server_chain.crt Datei.

      • Der mediator_key Wert ist der Schlüsselpfad in der ontap_mediator_server.crt Datei ontap_mediator_server.key.

      • Der ca_certificate Wert ist der Pfad der root_intermediate.crt Datei.

        Hinweis Für SnapMirror-Cluster für Business Continuity (SM-BC) müssen Sie einem ONTAP-Cluster die Zertifikate und hinzufügen intermediate.crt root_intermediate.crt . Siehe "Konfigurieren Sie ONTAP Mediator und Cluster für SnapMirror Active Sync".

    3. Stellen Sie sicher, dass die folgenden Attribute der neu generierten Zertifikate korrekt festgelegt sind:

      • Eigentümer Der Linux-Gruppe: netapp:netapp

      • Linux-Berechtigungen: 600

  2. Starten Sie ONTAP Mediator neu, wenn die Zertifikate in der Konfigurationsdatei aktualisiert wurden:

    systemctl restart ontap_mediator

ONTAP Mediator 1.8 und früher

Sie können Zertifikate von Drittanbietern mit einem anderen Namen als verwenden ca.* oder die Zertifikate von Drittanbietern an einem anderen Ort speichern.

Schritte

  1. Konfigurieren Sie die /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml Datei so, dass die standardmäßigen Variablenwerte in der Datei überschrieben ontap_mediator.config.yaml werden.

    Wenn Sie von einer PKI-Autorität erhalten ca.crt haben und den privaten Schlüssel am Speicherort speichern ca.key /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config, sollte die ontap_mediator.user_config.yaml Datei wie folgt aussehen:

    Hinweis Wenn Sie ca.crt das Zertifikat signiert ontap_mediator_server.crt haben, wird die ca.srl Datei generiert. Weitere Informationen finden Sie unter Schritt 2: Erstellen Sie ein Serverzertifikat, indem Sie mit einer Drittanbieter-CA-Zertifizierung signieren . 
    [root@scs000216655 server_config]# cat  ontap_mediator.user_config.yaml

# This config file can be used to override the default settings in ontap_mediator.config.yaml
# To override a setting, copy the property key from ontap_mediator.config.yaml to this file and
# set the property to the desired value. e.g.,
#
# The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml
#
# To override this value with 6 mailboxes per target, add the following key/value pair
# below this comment:
#
# 'default_mailboxes_per_target': 6
#
cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'

    1. Wenn Sie eine Zertifikatstruktur verwenden, in der das root_ca.crt Zertifikat ein Zertifikat bereitstellt ca.crt , das das Zertifikat signiert ontap_mediator_server.crt , erstellen Sie eine Zertifikatskette aus den ca.crt Zertifikaten und ontap_mediator_server.crt :

      Hinweis Sie sollten die Zertifikate und von einer PKI-Behörde erhalten haben, die Sie zuvor im Verfahren erhalten haben ca.crt ontap_mediator_server.crt .

      cat ontap_mediator_server.crt ca.crt > ontap_mediator_server_chain.crt

    2. Aktualisieren Sie die /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini Datei.

      Aktualisieren Sie die Werte von mediator_cert, mediator_key`und `ca_certificate:

      set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

      set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

      set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_ca.crt

      • Der mediator_cert Wert ist der Pfad der ontap_mediator_server_chain.crt Datei.

      • Der mediator_key Wert ist der Schlüsselpfad in der ontap_mediator_server.crt Datei ontap_mediator_server.key.

      • Der ca_certificate Wert ist der Pfad der root_ca.crt Datei.

        Hinweis Für SnapMirror-Cluster für Business Continuity (SM-BC) müssen Sie einem ONTAP-Cluster die Zertifikate und hinzufügen ca.crt root_ca.crt . Siehe "Konfigurieren Sie ONTAP Mediator und Cluster für SnapMirror Active Sync".

    3. Stellen Sie sicher, dass die folgenden Attribute der neu generierten Zertifikate korrekt festgelegt sind:

      • Eigentümer Der Linux-Gruppe: netapp:netapp

      • Linux-Berechtigungen: 600

  2. Starten Sie ONTAP Mediator neu, wenn die Zertifikate in der Konfigurationsdatei aktualisiert wurden:

    systemctl restart ontap_mediator

Fehlerbehebung bei zertifikatbezogenen Problemen

Sie können bestimmte Eigenschaften der Zertifikate überprüfen.

Überprüfen Sie den Ablauf des Zertifikats

Verwenden Sie den folgenden Befehl, um den Gültigkeitsbereich des Zertifikats zu identifizieren.

ONTAP Mediator 1.9 und höher
[root@scs000216982 server_config]# openssl x509 -in intermediate.crt -text -noout
Certificate:
    Data:
...
        Validity
            Not Before: Feb 22 19:57:25 2024 GMT
            Not After : Feb 15 19:57:25 2029 GMT
ONTAP Mediator 1.8 und früher
[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...
        Validity
            Not Before: Feb 22 19:57:25 2024 GMT
            Not After : Feb 15 19:57:25 2029 GMT

Überprüfen Sie die X509v3-Erweiterungen in der CA-Zertifizierung

Verwenden Sie den folgenden Befehl, um die X509v3-Erweiterungen in der CA-Zertifizierung zu überprüfen.

ONTAP Mediator 1.9 und höher

Die v3_ca in definierten Eigenschaften openssl_ca.cnf werden wie in angezeigt X509v3 extensions intermediate.crt.

[root@scs000216982 server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@scs000216982 server_config]# cat openssl_ca.cnf
...
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, cRLSign, digitalSignature, keyCertSign

[root@scs000216982 server_config]# openssl x509 -in intermediate.crt -text -noout
Certificate:
    Data:
...
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
            X509v3 Authority Key Identifier:
                keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27

            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign
ONTAP Mediator 1.8 und früher

Die v3_ca in definierten Eigenschaften openssl_ca.cnf werden wie in angezeigt X509v3 extensions ca.crt.

[root@scs000216982 server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@scs000216982 server_config]# cat openssl_ca.cnf
...
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, cRLSign, digitalSignature, keyCertSign

[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
            X509v3 Authority Key Identifier:
                keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27

            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign

Überprüfen Sie X509v3-Erweiterungen in Serverzertifikaten und Subject Alt-Namen

Die v3_req in der openssl_server.cnf Konfigurationsdatei definierten Eigenschaften werden als X509v3 extensions im Zertifikat angezeigt.

Im folgenden Beispiel erhalten Sie die Variablen in der alt_names Abschnitte durch Ausführen der Befehle hostname -A Und hostname -I auf der Linux-VM, auf der ONTAP Mediator installiert ist.

Erkundigen Sie sich bei Ihrem Netzwerkadministrator nach den korrekten Werten der Variablen.

ONTAP Mediator 1.9 und höher
[root@scs000216982 server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@scs000216982 server_config]# cat openssl_server.cnf
...
[ v3_req ]
basicConstraints       = CA:false
extendedKeyUsage       = serverAuth
keyUsage               = keyEncipherment, dataEncipherment
subjectAltName         = @alt_names

[ alt_names ]
DNS.1 = abc.company.com
DNS.2 = abc-v6.company.com
IP.1 = 1.2.3.4
IP.2 = abcd:abcd:abcd:abcd:abcd:abcd

[root@scs000216982 server_config]# openssl x509 -in intermediate.crt -text -noout
Certificate:
    Data:
...

        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Key Usage:
                Key Encipherment, Data Encipherment
            X509v3 Subject Alternative Name:
                DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd
ONTAP Mediator 1.8 und früher
[root@scs000216982 server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@scs000216982 server_config]# cat openssl_server.cnf
...
[ v3_req ]
basicConstraints       = CA:false
extendedKeyUsage       = serverAuth
keyUsage               = keyEncipherment, dataEncipherment
subjectAltName         = @alt_names

[ alt_names ]
DNS.1 = abc.company.com
DNS.2 = abc-v6.company.com
IP.1 = 1.2.3.4
IP.2 = abcd:abcd:abcd:abcd:abcd:abcd

[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...

        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Key Usage:
                Key Encipherment, Data Encipherment
            X509v3 Subject Alternative Name:
                DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd

Vergewissern Sie sich, dass ein privater Schlüssel mit einem Zertifikat übereinstimmt

Sie können überprüfen, ob ein bestimmter privater Schlüssel mit einem Zertifikat übereinstimmt.

Verwenden Sie die folgenden OpenSSL-Befehle auf dem Schlüssel bzw. dem Zertifikat.

ONTAP Mediator 1.9 und höher
[root@scs000216982 server_config]# openssl rsa -noout -modulus -in intermediate.key | openssl md5
Enter pass phrase for intermediate.key:
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
[root@scs000216982 server_config]# openssl x509 -noout -modulus -in intermediate.crt | openssl md5
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
ONTAP Mediator 1.8 und früher
[root@scs000216982 server_config]# openssl rsa -noout -modulus -in ca.key | openssl md5
Enter pass phrase for ca.key:
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
[root@scs000216982 server_config]# openssl x509 -noout -modulus -in ca.crt | openssl md5
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc

Wenn das -modulus Attribut für beide übereinstimmen, zeigt es an, dass der private Schlüssel und das Zertifikatspaar kompatibel sind und miteinander arbeiten können.

Überprüfen Sie, ob ein Serverzertifikat aus einem bestimmten CA-Zertifikat erstellt wurde

Mit dem folgenden Befehl können Sie überprüfen, ob das Serverzertifikat aus einem bestimmten CA-Zertifikat erstellt wird.

ONTAP Mediator 1.9 und höher
[root@scs000216982 server_config]# openssl verify -CAfile intermediate.crt ontap_mediator_server.crt
ontap_mediator_server.crt: OK
ONTAP Mediator 1.8 und früher
[root@scs000216982 server_config]# openssl verify -CAfile ca.crt ontap_mediator_server.crt
ontap_mediator_server.crt: OK

Wenn die OCSP-Validierung (Online Certificate Status Protocol) verwendet wird, verwenden Sie den Befehl "openssl-Verify".