Skip to main content
Eine neuere Version dieses Produkts ist erhältlich.
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren des CA-Zertifikats für den SnapCenter-SAP HANA-Plug-ins-Service auf dem Linux-Host

Beitragende

Sie sollten das Passwort des benutzerdefinierten Plug-ins-Schlüsselspeichers und dessen Zertifikat verwalten, das CA-Zertifikat konfigurieren, Root- oder Zwischenzertifikate für den benutzerdefinierten Plug-ins-Vertrauensspeicher konfigurieren und das CA-signierte Schlüsselpaar für den benutzerdefinierten Plug-ins-Vertrauensspeicher mit dem SnapCenter-Dienst Benutzerdefinierte Plug-ins konfigurieren, um das installierte digitale Zertifikat zu aktivieren.

Benutzerdefinierte Plug-ins verwenden die Datei 'keystore.jks', die sich unter /opt/NetApp/snapcenter/scc/etc sowohl als Vertrauensspeicher als auch als Schlüsselspeicher befindet.

Passwort für benutzerdefinierten Plug-in-Schlüsselspeicher und Alias des verwendeten CA-signierten Schlüsselpaares verwalten

Schritte
  1. Sie können benutzerdefinierte Plug-in Schlüsselspeicher Standardpasswort aus benutzerdefinierten Plug-in Agent Eigenschaftsdatei abrufen.

    Es ist der Wert, der dem Schlüssel 'KEYSTORE_PASS' entspricht.

  2. Ändern Sie das Schlüsselspeicher-Passwort:

     keytool -storepasswd -keystore keystore.jks
    . Ändern Sie das Kennwort für alle Aliase privater Schlüsseleinträge im Schlüsselspeicher auf dasselbe Kennwort, das für den Schlüsselspeicher verwendet wird:
    keytool -keypasswd -alias "alias_name_in_cert" -keystore keystore.jks

    Aktualisieren Sie das gleiche für den Schlüssel KEYSTORE_PASS in agent.properties Datei.

  3. Starten Sie den Dienst neu, nachdem Sie das Passwort geändert haben.

Hinweis Das Kennwort für den benutzerdefinierten Plug-in-Schlüsselspeicher und für alle zugeordneten Alias-Passwörter des privaten Schlüssels sollte gleich sein.

Konfigurieren Sie Root- oder Zwischenzertifikate in einem benutzerdefinierten Plug-in Trust-Store

Sie sollten die Stammzertifikate oder Zwischenzertifikate ohne privaten Schlüssel als benutzerdefinierten Plug-in-Vertrauensspeicher konfigurieren.

Schritte
  1. Navigieren Sie zu dem Ordner mit dem benutzerdefinierten Plug-in-Keystore: /Opt/NetApp/snapcenter/scc/etc

  2. Suchen Sie die Datei 'keystore.jks'.

  3. Liste der hinzugefügten Zertifikate im Schlüsselspeicher:

    keytool -list -v -keystore keystore.jks

  4. Fügen Sie ein Stammzertifikat oder ein Zwischenzertifikat hinzu:

     keytool -import -trustcacerts -alias myRootCA -file /root/USERTrustRSA_Root.cer -keystore keystore.jks
    . Starten Sie den Dienst neu, nachdem Sie die Stammzertifikate oder Zwischenzertifikate in einen benutzerdefinierten Plug-in Trust-Store konfiguriert haben.
Hinweis Sie sollten das Root-CA-Zertifikat und anschließend die Zwischenzertifizierungszertifikate hinzufügen.

Konfigurieren Sie das CA-signierte Schlüsselpaar in einem benutzerdefinierten Plug-in-Vertrauensspeicher

Sie sollten das CA-signierte Schlüsselpaar für den benutzerdefinierten Plug-in Trust-Store konfigurieren.

Schritte
  1. Navigieren Sie zum Ordner mit dem benutzerdefinierten Plug-in keystore /opt/NetApp/snapcenter/scc/etc.

  2. Suchen Sie die Datei 'keystore.jks'.

  3. Liste der hinzugefügten Zertifikate im Schlüsselspeicher:

    keytool -list -v -keystore keystore.jks

  4. Fügen Sie das CA-Zertifikat mit einem privaten und einem öffentlichen Schlüssel hinzu.

    keytool -importkeystore -srckeystore /root/snapcenter.ssl.test.netapp.com.pfx -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS

  5. Listen Sie die hinzugefügten Zertifikate im Schlüsselspeicher auf.

    keytool -list -v -keystore keystore.jks

  6. Vergewissern Sie sich, dass der Schlüsselspeicher den Alias enthält, der dem neuen CA-Zertifikat entspricht, das dem Schlüsselspeicher hinzugefügt wurde.

  7. Ändern Sie das hinzugefügte Passwort für den privaten Schlüssel für das CA-Zertifikat in das Schlüsselspeicher-Passwort.

    Das benutzerdefinierte Standard-Plug-in-Schlüsselspeicher-Passwort ist der Wert der SCHLÜSSELDATEI KEYSTORE_PASS in agent.properties.

     keytool -keypasswd -alias "alias_name_in_CA_cert" -keystore keystore.jks
    . Wenn der Alias-Name im CA-Zertifikat lang ist und Leerzeichen oder Sonderzeichen enthält („*",","), ändern Sie den Alias-Namen in einen einfachen Namen:
     keytool -changealias -alias "long_alias_name" -destalias "simple_alias" -keystore keystore.jks
    . Konfigurieren Sie den Alias-Namen aus dem CA-Zertifikat in der Datei agent.properties.

    Diesen Wert mit dem Schlüssel SCC_CERTIFICATE_ALIAS aktualisieren.

  8. Starten Sie den Dienst neu, nachdem Sie das CA-signierte Schlüsselpaar in einen benutzerdefinierten Plug-in Trust-Store konfiguriert haben.

Konfigurieren der Zertifikatsperrliste (CRL) für benutzerdefinierte SnapCenter-Plug-ins

Über diese Aufgabe
  • Benutzerdefinierte SnapCenter-Plug-ins suchen in einem vorkonfigurierten Verzeichnis nach den CRL-Dateien.

  • Das Standardverzeichnis für die CRL-Dateien für SnapCenter Custom Plug-ins ist ' opt/NetApp/snapcenter/scc/etc/crl'.

Schritte
  1. Sie können das Standardverzeichnis in der Datei agent.properties mit dem Schlüssel CRL_PATH ändern und aktualisieren.

    Sie können mehrere CRL-Dateien in diesem Verzeichnis platzieren. Die eingehenden Zertifikate werden gegen jede CRL überprüft.