Skip to main content
SnapCenter software
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren Sie die bidirektionale SSL-Kommunikation auf dem Linux-Host

PDFs

Sie sollten die bidirektionale SSL-Kommunikation konfigurieren, um die gegenseitige Kommunikation zwischen dem SnapCenter -Server auf dem Linux-Host und den Plug-Ins zu sichern.

Bevor Sie beginnen

  • Sie sollten das CA-Zertifikat für den Linux-Host konfiguriert haben.

  • Sie müssen die bidirektionale SSL-Kommunikation auf allen Plug-In-Hosts und dem SnapCenter -Server aktiviert haben.

Schritte

  1. Kopieren Sie certificate.pem nach /etc/pki/ca-trust/source/anchors/.

  2. Fügen Sie die Zertifikate zur Vertrauensliste Ihres Linux-Hosts hinzu.

    • cp root-ca.pem /etc/pki/ca-trust/source/anchors/

    • cp certificate.pem /etc/pki/ca-trust/source/anchors/

    • update-ca-trust extract

  3. Überprüfen Sie, ob die Zertifikate zur Vertrauensliste hinzugefügt wurden. trust list | grep "<CN of your certificate>"

  4. Aktualisieren Sie ssl_certificate und ssl_certificate_key in der SnapCenter nginx-Datei und starten Sie neu.

    • vim /etc/nginx/conf.d/snapcenter.conf

    • systemctl restart nginx

  5. Aktualisieren Sie den SnapCenter Server-GUI-Link.

  6. Aktualisieren Sie die Werte der folgenden Schlüssel in * SnapManager* unter /<Installationspfad>/ NetApp/snapcenter/SnapManagerWeb und SMCoreServiceHost.dll.config unter /<Installationspfad>/ NetApp/snapcenter/SMCore.

    • <add key="SERVICE_CERTIFICATE_PATH" value="<Pfad der Datei certificate.pfx>" />

    • <add key="SERVICE_CERTIFICATE_PASSWORD" value="<password>"/>

  7. Starten Sie die folgenden Dienste neu.

    • systemctl restart smcore.service

    • systemctl restart snapmanagerweb.service

  8. Überprüfen Sie, ob das Zertifikat an den SnapManager -Webport angehängt ist. openssl s_client -connect localhost:8146 -brief

  9. Überprüfen Sie, ob das Zertifikat an den SMCore-Port angehängt ist. openssl s_client -connect localhost:8145 -brief

  10. Verwalten Sie das Kennwort für den SPL-Schlüsselspeicher und den Alias.

    1. Rufen Sie das dem Schlüssel SPL_KEYSTORE_PASS in der SPL-Eigenschaftendatei zugewiesene Standardkennwort für den SPL-Schlüsselspeicher ab.

    2. Ändern Sie das Keystore-Passwort. keytool -storepasswd -keystore keystore.jks

    3. Ändern Sie das Passwort für alle Aliase der privaten Schlüsseleinträge. keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks

    4. Aktualisieren Sie dasselbe Passwort für den Schlüssel SPL_KEYSTORE_PASS in spl.properties.

    5. Starten Sie den Dienst neu.

  11. Fügen Sie auf dem Linux-Host des Plug-ins die Stamm- und Zwischenzertifikate zum Schlüsselspeicher des SPL-Plug-ins hinzu.

    • keytool -import -trustcacerts -alias <any preferred alias name> -file <path of root-ca.pem> -keystore <path of keystore.jks mentioned in spl.properties file>

    • keytool -importkeystore -srckeystore <path of certificate.pfx> -srcstoretype pkcs12 -destkeystore <path of keystore.jks mentioned in spl.properties file> -deststoretype JKS

      1. Überprüfen Sie die Einträge in keystore.jks. keytool -list -v -keystore <path to keystore.jks>

      2. Benennen Sie bei Bedarf alle Aliase um. keytool -changealias -alias "old-alias" -destalias "new-alias" -keypass keypass -keystore </path/to/keystore> -storepass storepas

  12. Aktualisieren Sie den Wert von SPL_CERTIFICATE_ALIAS in der Datei spl.properties mit dem Alias von certificate.pfx, der in keystore.jks gespeichert ist, und starten Sie den SPL-Dienst neu: systemctl restart spl

  13. Überprüfen Sie, ob das Zertifikat an den SMCore-Port angehängt ist. openssl s_client -connect localhost:8145 -brief