Skip to main content
SnapCenter Software 6.0
Eine neuere Version dieses Produkts ist erhältlich.
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren des CA-Zertifikats für den SnapCenter-SAP HANA-Plug-ins-Service auf dem Linux-Host

Beitragende netapp-soumikd

Sie sollten das Kennwort des Plug-In-Schlüsselspeichers und seines Zertifikats verwalten, das CA-Zertifikat konfigurieren, Stamm- oder Zwischenzertifikate für den Plug-In-Truststore konfigurieren und ein von der CA signiertes Schlüsselpaar für den Plug-In-Truststore mit dem SnapCenter-Plug-In-Dienst konfigurieren, um das installierte digitale Zertifikat zu aktivieren.

Die Plug-Ins verwenden die Datei „keystore.jks“, die sich unter /opt/NetApp/snapcenter/scc/etc befindet, sowohl als Truststore als auch als Keystore.

Verwalten Sie das Kennwort für den Plug-In-Schlüsselspeicher und den Alias des verwendeten, von der Zertifizierungsstelle signierten Schlüsselpaars.

Schritte
  1. Sie können das Standardkennwort für den Plug-In-Keystore aus der Eigenschaftendatei des Plug-In-Agenten abrufen.

    Es ist der Wert, der dem Schlüssel 'KEYSTORE_PASS' entspricht.

  2. Ändern Sie das Schlüsselspeicher-Passwort:

     keytool -storepasswd -keystore keystore.jks
    . Ändern Sie das Kennwort für alle Aliase privater Schlüsseleinträge im Schlüsselspeicher auf dasselbe Kennwort, das für den Schlüsselspeicher verwendet wird:
    keytool -keypasswd -alias "alias_name_in_cert" -keystore keystore.jks

    Aktualisieren Sie das gleiche für den Schlüssel KEYSTORE_PASS in agent.properties Datei.

  3. Starten Sie den Dienst neu, nachdem Sie das Passwort geändert haben.

Hinweis Das Kennwort für den Plug-In-Schlüsselspeicher und für alle zugehörigen Aliaskennwörter des privaten Schlüssels müssen identisch sein.

Konfigurieren Sie Stamm- oder Zwischenzertifikate für den Plug-In-Truststore

Sie sollten die Stamm- oder Zwischenzertifikate ohne den privaten Schlüssel für den Plug-In-Truststore konfigurieren.

Schritte
  1. Navigieren Sie zu dem Ordner, der den Plug-In-Schlüsselspeicher enthält: /opt/NetApp/snapcenter/scc/etc.

  2. Suchen Sie die Datei 'keystore.jks'.

  3. Liste der hinzugefügten Zertifikate im Schlüsselspeicher:

    keytool -list -v -keystore keystore.jks

  4. Fügen Sie ein Stammzertifikat oder ein Zwischenzertifikat hinzu:

     keytool -import -trustcacerts -alias myRootCA -file /root/USERTrustRSA_Root.cer -keystore keystore.jks
    . Starten Sie den Dienst neu, nachdem Sie die Stamm- oder Zwischenzertifikate für den Plug-In-Truststore konfiguriert haben.
Hinweis Sie sollten das Root-CA-Zertifikat und anschließend die Zwischenzertifizierungszertifikate hinzufügen.

Konfigurieren Sie das von der Zertifizierungsstelle signierte Schlüsselpaar für den Plug-In-Truststore

Sie sollten das von der Zertifizierungsstelle signierte Schlüsselpaar für den Truststore des Plug-Ins konfigurieren.

Schritte
  1. Navigieren Sie zu dem Ordner, der den Plug-In-Schlüsselspeicher /opt/NetApp/snapcenter/scc/etc enthält.

  2. Suchen Sie die Datei 'keystore.jks'.

  3. Liste der hinzugefügten Zertifikate im Schlüsselspeicher:

    keytool -list -v -keystore keystore.jks

  4. Fügen Sie das CA-Zertifikat mit einem privaten und einem öffentlichen Schlüssel hinzu.

    keytool -importkeystore -srckeystore /root/snapcenter.ssl.test.netapp.com.pfx -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS

  5. Listen Sie die hinzugefügten Zertifikate im Schlüsselspeicher auf.

    keytool -list -v -keystore keystore.jks

  6. Vergewissern Sie sich, dass der Schlüsselspeicher den Alias enthält, der dem neuen CA-Zertifikat entspricht, das dem Schlüsselspeicher hinzugefügt wurde.

  7. Ändern Sie das hinzugefügte Passwort für den privaten Schlüssel für das CA-Zertifikat in das Schlüsselspeicher-Passwort.

    Das Standardkennwort für den Schlüsselspeicher ist der Wert des Schlüssels KEYSTORE_PASS in der Datei agent.properties.

     keytool -keypasswd -alias "alias_name_in_CA_cert" -keystore keystore.jks
    . Wenn der Alias-Name im CA-Zertifikat lang ist und Leerzeichen oder Sonderzeichen enthält („*",","), ändern Sie den Alias-Namen in einen einfachen Namen:
     keytool -changealias -alias "long_alias_name" -destalias "simple_alias" -keystore keystore.jks
    . Konfigurieren Sie den Alias-Namen aus dem CA-Zertifikat in der Datei agent.properties.

    Diesen Wert mit dem Schlüssel SCC_CERTIFICATE_ALIAS aktualisieren.

  8. Starten Sie den Dienst neu, nachdem Sie das von der Zertifizierungsstelle signierte Schlüsselpaar für den Plug-In-Truststore konfiguriert haben.

Konfigurieren der Zertifikatsperrliste (CRL) für SnapCenter-Plug-Ins

Über diese Aufgabe
  • SnapCenter-Plug-Ins suchen in einem vorkonfigurierten Verzeichnis nach den CRL-Dateien.

  • Das Standardverzeichnis für die CRL-Dateien für SnapCenter-Plug-Ins ist „opt/NetApp/snapcenter/scc/etc/crl“.

Schritte
  1. Sie können das Standardverzeichnis in der Datei agent.properties mit dem Schlüssel CRL_PATH ändern und aktualisieren.

    Sie können mehrere CRL-Dateien in diesem Verzeichnis platzieren. Die eingehenden Zertifikate werden gegen jede CRL überprüft.