Skip to main content
Eine neuere Version dieses Produkts ist erhältlich.
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren Sie das CA-Zertifikat mit dem SnapCenter Plug-in Loader (SPL)-Service auf dem Linux-Host

Beitragende

Sie sollten das Passwort von SPL Keystore und dessen Zertifikat verwalten, das CA-Zertifikat konfigurieren, Root- oder Zwischenzertifikate für SPL Trust-Store konfigurieren und das CA-signierte Schlüsselpaar für SPL Trust-Store mit dem SnapCenter Plug-in Loader Service konfigurieren, um das installierte digitale Zertifikat zu aktivieren.

Wichtig SPL verwendet die Datei 'keystore.jks', die sich bei ‘/var/opt/snapcenter/spl/etc’ sowohl als Vertrauensspeicher als auch als Schlüsselspeicher befindet.

Passwort für SPL-Schlüsselspeicher und Alias des verwendeten CA-signierten Schlüsselpaares verwalten

Schritte

  1. Sie können SPL Schlüsselspeicher Standardpasswort aus SPL Eigenschaftsdatei abrufen.

    Dieser Wert entspricht dem Schlüssel 'SPL_KEYSTORE_PASS'.

  2. Ändern Sie das Schlüsselspeicher-Passwort:

     keytool -storepasswd -keystore keystore.jks
    . Ändern Sie das Kennwort für alle Aliase privater Schlüsseleinträge im Schlüsselspeicher auf dasselbe Kennwort, das für den Schlüsselspeicher verwendet wird:
    keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks

    Aktualisieren Sie das gleiche für den Schlüssel SPL_KEYSTORE_PASS in der Datei spl.properties.

  3. Starten Sie den Dienst neu, nachdem Sie das Passwort geändert haben.

Hinweis Passwort für SPL-Schlüsselspeicher und für alle zugeordneten Alias-Passwort des privaten Schlüssels sollte gleich sein.

Konfigurieren Sie Root- oder Zwischenzertifikate in SPL Trust-Store

Sie sollten die Stammzertifikate oder Zwischenzertifikate ohne privaten Schlüssel in den SPL Trust-Store konfigurieren.

Schritte

  1. Navigieren Sie zum Ordner mit dem SPL-Schlüsselspeicher: /var/opt/snapcenter/spl/etc.

  2. Suchen Sie die Datei 'keystore.jks'.

  3. Liste der hinzugefügten Zertifikate im Schlüsselspeicher:

     keytool -list -v -keystore keystore.jks
    . Fügen Sie ein Stammzertifikat oder ein Zwischenzertifikat hinzu:
     keytool -import -trustcacerts -alias <AliasNameForCerticateToBeImported> -file /<CertificatePath> -keystore keystore.jks
    . Starten Sie den Dienst neu, nachdem Sie die Stammzertifikate oder Zwischenzertifikate in den SPL Trust-Store konfiguriert haben.
Hinweis Sie sollten das Root-CA-Zertifikat und anschließend die Zwischenzertifizierungszertifikate hinzufügen.

Konfigurieren Sie das CA-signierte Schlüsselpaar für SPL Trust-Store

Sie sollten das CA-signierte Schlüsselpaar für den SPL Trust-Store konfigurieren.

Schritte

  1. Navigieren Sie zu dem Ordner, der den SPL-Schlüsselspeicher /var/opt/snapcenter/spl/etc. Enthält

  2. Suchen Sie die Datei 'keystore.jks'.

  3. Liste der hinzugefügten Zertifikate im Schlüsselspeicher:

     keytool -list -v -keystore keystore.jks
    . Fügen Sie das CA-Zertifikat mit einem privaten und einem öffentlichen Schlüssel hinzu.
     keytool -importkeystore -srckeystore <CertificatePathToImport> -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS
    . Listen Sie die hinzugefügten Zertifikate im Schlüsselspeicher auf.
     keytool -list -v -keystore keystore.jks
    . Vergewissern Sie sich, dass der Schlüsselspeicher den Alias enthält, der dem neuen CA-Zertifikat entspricht, das dem Schlüsselspeicher hinzugefügt wurde.
    . Ändern Sie das hinzugefügte Passwort für den privaten Schlüssel für das CA-Zertifikat in das Schlüsselspeicher-Passwort.

    Das Standard-SPL-Schlüsselspeicherkennwort ist der Wert des Schlüssels SPL_KEYSTORE_PASS in der Datei spl.properties.

     keytool -keypasswd -alias "<aliasNameOfAddedCertInKeystore>" -keystore keystore.jks
    . Wenn der Alias-Name im CA-Zertifikat lang ist und Leerzeichen oder Sonderzeichen enthält („*",","), ändern Sie den Alias-Namen in einen einfachen Namen:
     keytool -changealias -alias "<OrignalAliasName>" -destalias "<NewAliasName>" -keystore keystore.jks
    . Konfigurieren Sie den Alias-Namen aus dem Schlüsselspeicher, der sich in der Datei spl.properties befindet.

    Diesen Wert mit dem Schlüssel SPL_CERTIFICATE_ALIAS aktualisieren.

  4. Starten Sie den Dienst neu, nachdem Sie das CA-signierte Schlüsselpaar auf SPL Trust-Store konfiguriert haben.

Konfigurieren der Zertifikatsperrliste (CRL) für SPL

Sie sollten die CRL für SPL konfigurieren

Über diese Aufgabe

  • SPL wird nach den CRL-Dateien in einem vorkonfigurierten Verzeichnis suchen.

  • Das Standardverzeichnis für die CRL-Dateien für SPL lautet /var/opt/snapcenter/spl/etc/crl.

Schritte

  1. Sie können das Standardverzeichnis in der Datei spl.properties mit dem Schlüssel SPL_CRL_PATH ändern und aktualisieren.

  2. Sie können mehrere CRL-Dateien in diesem Verzeichnis platzieren.

    Die eingehenden Zertifikate werden gegen jede CRL überprüft.