Skip to main content
SnapCenter software
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren Sie die bidirektionale SSL-Kommunikation auf dem Linux-Host

Beitragende netapp-soumikd
PDFs

Sie sollten die bidirektionale SSL-Kommunikation konfigurieren, um die gegenseitige Kommunikation zwischen SnapCenter-Server auf Linux-Host und den Plug-ins zu sichern.

Bevor Sie beginnen

  • Sie sollten das CA-Zertifikat für den Linux-Host konfiguriert haben.

  • Sie müssen die bidirektionale SSL-Kommunikation auf allen Plug-in-Hosts und dem SnapCenter-Server aktiviert haben.

Schritte

  1. Kopieren Sie Certificate.pem nach /etc/pki/Ca-Trust/source/Anchors/.

  2. Fügen Sie die Zertifikate in die Vertrauensliste Ihres Linux-Hosts ein.

    • cp root-ca.pem /etc/pki/ca-trust/source/anchors/

    • cp certificate.pem /etc/pki/ca-trust/source/anchors/

    • update-ca-trust extract

  3. Überprüfen Sie, ob die Zertifikate zur Vertrauensliste hinzugefügt wurden. trust list | grep "<CN of your certificate>"

  4. Aktualisieren Sie ssl_Certificate und ssl_Certificate_key in der SnapCenter nginx-Datei und starten Sie neu.

    • vim /etc/nginx/conf.d/snapcenter.conf

    • systemctl restart nginx

  5. Aktualisieren Sie den GUI-Link des SnapCenter-Servers.

  6. Aktualisieren Sie die Werte der folgenden Schlüssel in SnapManager.Web.UI.dll.config unter _ /<installation path>/NetApp/snapcenter/SnapManagerWeb_ und SMCoreServiceHost.dll.config unter /<installation path>/NetApp/snapcenter/SMCore.

    • <add key="SERVICE_CERTIFICATE_PATH" value="<path of certificate.pfx>" />

    • <add key="SERVICE_CERTIFICATE_PASSWORD" value="<password>"/>

  7. Starten Sie die folgenden Dienste neu.

    • systemctl restart smcore.service

    • systemctl restart snapmanagerweb.service

  8. Vergewissern Sie sich, dass das Zertifikat an den SnapManager-Webport angeschlossen ist. openssl s_client -connect localhost:8146 -brief

  9. Vergewissern Sie sich, dass das Zertifikat an den smcore-Port angeschlossen ist. openssl s_client -connect localhost:8145 -brief

  10. Kennwort für SPL-Keystore und Alias verwalten.

    1. Rufen Sie das SPL-Keystore-Standardpasswort ab, das dem Schlüssel SPL_KEYSTORE_PASS in der SPL-Eigenschaftsdatei zugewiesen wurde.

    2. Ändern Sie das Passwort für den Keystore. keytool -storepasswd -keystore keystore.jks

    3. Ändern Sie das Passwort für alle Aliase von privaten Schlüsseleinträgen. keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks

    4. Aktualisieren Sie dasselbe Passwort für den Schlüssel SPL_KEYSTORE_PASS in spl.properties.

    5. Starten Sie den Dienst neu.

  11. Fügen Sie auf dem Plug-in-Linux-Host die Root- und Zwischenzertifikate im Keystore des SPL-Plug-ins hinzu.

    • keytool -import -trustcacerts -alias <any preferred alias name> -file <path of root-ca.pem> -keystore <path of keystore.jks mentioned in spl.properties file>

    • keytool -importkeystore -srckeystore <path of certificate.pfx> -srcstoretype pkcs12 -destkeystore <path of keystore.jks mentioned in spl.properties file> -deststoretype JKS

      1. Überprüfen Sie die Einträge in keystore.jks. keytool -list -v -keystore <path to keystore.jks>

      2. Benennen Sie bei Bedarf alle Alias um. keytool -changealias -alias "old-alias" -destalias "new-alias" -keypass keypass -keystore </path/to/keystore> -storepass storepas

  12. Aktualisieren Sie den Wert von SPL_CERTIFICATE_ALIAS in der Datei spl.properties mit dem Alias Certificate.pfx, der in keystore.jks gespeichert ist, und starten Sie den SPL-Dienst neu: systemctl restart spl

  13. Vergewissern Sie sich, dass das Zertifikat an den smcore-Port angeschlossen ist. openssl s_client -connect localhost:8145 -brief