Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren Sie die bidirektionale SSL-Kommunikation auf dem Linux-Host

Beitragende
PDFs

Sie sollten die bidirektionale SSL-Kommunikation konfigurieren, um die gegenseitige Kommunikation zwischen SnapCenter-Server auf Linux-Host und den Plug-ins zu sichern.

Bevor Sie beginnen

  • Sie sollten das CA-Zertifikat für den Linux-Host konfiguriert haben.

  • Sie müssen die bidirektionale SSL-Kommunikation auf allen Plug-in-Hosts und dem SnapCenter-Server aktiviert haben.

Schritte

  1. Kopieren Sie Certificate.pem nach /etc/pki/Ca-Trust/source/Anchors/.

  2. Fügen Sie die Zertifikate in die Vertrauensliste Ihres Linux-Hosts ein.

    • cp root-ca.pem /etc/pki/ca-trust/source/anchors/

    • cp certificate.pem /etc/pki/ca-trust/source/anchors/

    • update-ca-trust extract

  3. Überprüfen Sie, ob die Zertifikate zur Vertrauensliste hinzugefügt wurden. trust list | grep "<CN of your certificate>"

  4. Aktualisieren Sie ssl_Certificate und ssl_Certificate_key in der SnapCenter nginx-Datei und starten Sie neu.

    • vim /etc/nginx/conf.d/snapcenter.conf

    • systemctl restart nginx

  5. Aktualisieren Sie den GUI-Link des SnapCenter-Servers.

  6. Aktualisieren Sie die Werte der folgenden Schlüssel in SnapManager.Web.UI.dll.config unter _ /<installation path>/NetApp/snapcenter/SnapManagerWeb_ und SMCoreServiceHost.dll.config unter /<installation path>/NetApp/snapcenter/SMCore.

    • <add key="SERVICE_CERTIFICATE_PATH" value="<path of certificate.pfx>" />

    • <add key="SERVICE_CERTIFICATE_PASSWORD" value="<password>"/>

  7. Starten Sie die folgenden Dienste neu.

    • systemctl restart smcore.service

    • systemctl restart snapmanagerweb.service

  8. Vergewissern Sie sich, dass das Zertifikat an den SnapManager-Webport angeschlossen ist. openssl s_client -connect localhost:8146 -brief

  9. Vergewissern Sie sich, dass das Zertifikat an den smcore-Port angeschlossen ist. openssl s_client -connect localhost:8145 -brief

  10. Kennwort für SPL-Keystore und Alias verwalten.

    1. Rufen Sie das SPL-Keystore-Standardpasswort ab, das dem Schlüssel SPL_KEYSTORE_PASS in der SPL-Eigenschaftsdatei zugewiesen wurde.

    2. Ändern Sie das Passwort für den Keystore. keytool -storepasswd -keystore keystore.jks

    3. Ändern Sie das Passwort für alle Aliase von privaten Schlüsseleinträgen. keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks

    4. Aktualisieren Sie dasselbe Passwort für den Schlüssel SPL_KEYSTORE_PASS in spl.properties.

    5. Starten Sie den Dienst neu.

  11. Fügen Sie auf dem Plug-in-Linux-Host die Root- und Zwischenzertifikate im Keystore des SPL-Plug-ins hinzu.

    • keytool -import -trustcacerts -alias <any preferred alias name> -file <path of root-ca.pem> -keystore <path of keystore.jks mentioned in spl.properties file>

    • keytool -importkeystore -srckeystore <path of certificate.pfx> -srcstoretype pkcs12 -destkeystore <path of keystore.jks mentioned in spl.properties file> -deststoretype JKS

      1. Überprüfen Sie die Einträge in keystore.jks. keytool -list -v -keystore <path to keystore.jks>

      2. Benennen Sie bei Bedarf alle Alias um. keytool -changealias -alias "old-alias" -destalias "new-alias" -keypass keypass -keystore </path/to/keystore> -storepass storepas

  12. Aktualisieren Sie den Wert von SPL_CERTIFICATE_ALIAS in der Datei spl.properties mit dem Alias Certificate.pfx, der in keystore.jks gespeichert ist, und starten Sie den SPL-Dienst neu: systemctl restart spl

  13. Vergewissern Sie sich, dass das Zertifikat an den smcore-Port angeschlossen ist. openssl s_client -connect localhost:8145 -brief