Skip to main content
SnapCenter software
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren Sie die bidirektionale SSL-Kommunikation auf dem Windows-Host

PDFs

Sie sollten die bidirektionale SSL-Kommunikation konfigurieren, um die gegenseitige Kommunikation zwischen dem SnapCenter Server auf dem Windows-Host und den Plug-Ins zu sichern.

Bevor Sie beginnen

  • Sie sollten die CSR-Datei des CA-Zertifikats mit der minimal unterstützten Schlüssellänge von 3072 generiert haben.

  • Das CA-Zertifikat sollte die Server- und Client-Authentifizierung unterstützen.

  • Sie sollten über ein CA-Zertifikat mit privatem Schlüssel und Fingerabdruckdetails verfügen.

  • Sie sollten die Einweg-SSL-Konfiguration aktiviert haben.

    Weitere Einzelheiten finden Sie unter "Abschnitt „CA-Zertifikat konfigurieren“."

  • Sie müssen die bidirektionale SSL-Kommunikation auf allen Plug-In-Hosts und dem SnapCenter -Server aktiviert haben.

    Umgebungen mit einigen Hosts oder Servern, die nicht für die bidirektionale SSL-Kommunikation aktiviert sind, werden nicht unterstützt.

Schritte

  1. Um den Port zu binden, führen Sie mithilfe von PowerShell-Befehlen die folgenden Schritte auf dem SnapCenter Server-Host für den SnapCenter IIS-Webserver-Port 8146 (Standard) und noch einmal für den SMCore-Port 8145 (Standard) aus.

    1. Entfernen Sie die vorhandene selbstsignierte Zertifikat-Portbindung von SnapCenter mit dem folgenden PowerShell-Befehl.

      > netsh http delete sslcert ipport=0.0.0.0:<SMCore port/IIS port>

      Zum Beispiel,

      > netsh http delete sslcert ipport=0.0.0.0:8145

      > netsh http delete sslcert ipport=0.0.0.0:8146

    2. Binden Sie das neu erworbene CA-Zertifikat an den SnapCenter -Server und den SMCore-Port.

      > $cert = “<CA_certificate thumbprint>”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0: <SMCore Port/IIS port> certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > netsh http show sslcert ipport=0.0.0.0:<SMCore Port/IIS port>

      Zum Beispiel,

      > $cert = “abc123abc123abc123abc123”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0:8146 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0:8145 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > netsh http show sslcert ipport=0.0.0.0:8146

    > netsh http show sslcert ipport=0.0.0.0:8145

  2. Um auf die Berechtigung für das CA-Zertifikat zuzugreifen, fügen Sie den standardmäßigen IIS-Webserverbenutzer „IIS AppPool\ SnapCenter“ des SnapCenters zur Zertifikatberechtigungsliste hinzu, indem Sie die folgenden Schritte ausführen, um auf das neu erworbene CA-Zertifikat zuzugreifen.

    1. Gehen Sie zur Microsoft-Verwaltungskonsole (MMC) und klicken Sie dann auf Datei > SnapIn hinzufügen/entfernen.

    2. Wählen Sie im Fenster „Snap-Ins hinzufügen oder entfernen“ Zertifikate aus und klicken Sie dann auf Hinzufügen.

    3. Wählen Sie im Zertifikat-Snap-In-Fenster die Option Computerkonto und klicken Sie dann auf Fertig.

    4. Klicken Sie auf Konsolenstamm > Zertifikate – Lokaler Computer > Persönlich > Zertifikate.

    5. Wählen Sie das SnapCenter -Zertifikat aus.

    6. Um den Assistenten zum Hinzufügen von Benutzern/Berechtigungen zu starten, klicken Sie mit der rechten Maustaste auf das CA-Zertifikat und wählen Sie Alle Aufgaben > Private Schlüssel verwalten.

    7. Klicken Sie auf Hinzufügen und ändern Sie im Assistenten „Benutzer und Gruppen auswählen“ den Speicherort in den lokalen Computernamen (ganz oben in der Hierarchie).

    8. Fügen Sie den IIS AppPool\ SnapCenter Benutzer hinzu und erteilen Sie ihm die Vollzugriffsberechtigung.

  3. Fügen Sie für die IIS-Berechtigung des CA-Zertifikats den neuen DWORD-Registrierungsschlüsseleintrag in SnapCenter Server aus dem folgenden Pfad hinzu:

    Navigieren Sie im Windows-Registrierungseditor zum unten angegebenen Pfad.

    HKey_Local_Machine\SYSTEM\CurrentControlSet\Control\SecurityProv ders\SCHANNEL

  4. Erstellen Sie einen neuen DWORD-Registrierungsschlüsseleintrag im Kontext der SCHANNEL-Registrierungskonfiguration.

    SendTrustedIssuerList = 0

    ClientAuthTrustMode = 2

Konfigurieren Sie das SnapCenter Windows-Plug-In für die bidirektionale SSL-Kommunikation

Sie sollten das SnapCenter Windows-Plug-In für die bidirektionale SSL-Kommunikation mithilfe von PowerShell-Befehlen konfigurieren.

Bevor Sie beginnen

Stellen Sie sicher, dass der Fingerabdruck des CA-Zertifikats verfügbar ist.

Schritte

  1. Um den Port zu binden, führen Sie die folgenden Aktionen auf dem Windows-Plug-In-Host für SMCore-Port 8145 (Standard) aus.

    1. Entfernen Sie die vorhandene selbstsignierte Zertifikat-Portbindung von SnapCenter mit dem folgenden PowerShell-Befehl.

      > netsh http delete sslcert ipport=0.0.0.0:<SMCore port>

      Zum Beispiel,

      > netsh http delete sslcert ipport=0.0.0.0:8145

    2. Binden Sie das neu erworbene CA-Zertifikat an den SMCore-Port.

      > $cert = “<CA_certificate thumbprint>”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0: <SMCore Port> certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > netsh http show sslcert ipport=0.0.0.0:<SMCore Port>

      Zum Beispiel,

      > $cert = “abc123abc123abc123abc123”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0:8145 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

    > netsh http show sslcert ipport=0.0.0.0:8145