Konfigurieren des CA-Zertifikats für den SnapCenter-SAP HANA-Plug-ins-Service auf dem Linux-Host
Sie sollten das Kennwort des Plug-In-Schlüsselspeichers und seines Zertifikats verwalten, das CA-Zertifikat konfigurieren, Stamm- oder Zwischenzertifikate für den Plug-In-Truststore konfigurieren und ein von der CA signiertes Schlüsselpaar für den Plug-In-Truststore mit dem SnapCenter-Plug-In-Dienst konfigurieren, um das installierte digitale Zertifikat zu aktivieren.
Die Plug-Ins verwenden die Datei „keystore.jks“, die sich unter /opt/NetApp/snapcenter/scc/etc befindet, sowohl als Truststore als auch als Keystore.
Verwalten Sie das Kennwort für den Plug-In-Schlüsselspeicher und den Alias des verwendeten, von der Zertifizierungsstelle signierten Schlüsselpaars.
-
Sie können das Standardkennwort für den Plug-In-Keystore aus der Eigenschaftendatei des Plug-In-Agenten abrufen.
Es ist der Wert, der dem Schlüssel 'KEYSTORE_PASS' entspricht.
-
Ändern Sie das Schlüsselspeicher-Passwort:
keytool -storepasswd -keystore keystore.jks . Ändern Sie das Kennwort für alle Aliase privater Schlüsseleinträge im Schlüsselspeicher auf dasselbe Kennwort, das für den Schlüsselspeicher verwendet wird:
keytool -keypasswd -alias "alias_name_in_cert" -keystore keystore.jks
Aktualisieren Sie das gleiche für den Schlüssel KEYSTORE_PASS in agent.properties Datei.
-
Starten Sie den Dienst neu, nachdem Sie das Passwort geändert haben.
|
Das Kennwort für den Plug-In-Schlüsselspeicher und für alle zugehörigen Aliaskennwörter des privaten Schlüssels müssen identisch sein. |
Konfigurieren Sie Stamm- oder Zwischenzertifikate für den Plug-In-Truststore
Sie sollten die Stamm- oder Zwischenzertifikate ohne den privaten Schlüssel für den Plug-In-Truststore konfigurieren.
-
Navigieren Sie zu dem Ordner, der den Plug-In-Schlüsselspeicher enthält: /opt/NetApp/snapcenter/scc/etc.
-
Suchen Sie die Datei 'keystore.jks'.
-
Liste der hinzugefügten Zertifikate im Schlüsselspeicher:
keytool -list -v -keystore keystore.jks
-
Fügen Sie ein Stammzertifikat oder ein Zwischenzertifikat hinzu:
keytool -import -trustcacerts -alias myRootCA -file /root/USERTrustRSA_Root.cer -keystore keystore.jks . Starten Sie den Dienst neu, nachdem Sie die Stamm- oder Zwischenzertifikate für den Plug-In-Truststore konfiguriert haben.
|
Sie sollten das Root-CA-Zertifikat und anschließend die Zwischenzertifizierungszertifikate hinzufügen. |
Konfigurieren Sie das von der Zertifizierungsstelle signierte Schlüsselpaar für den Plug-In-Truststore
Sie sollten das von der Zertifizierungsstelle signierte Schlüsselpaar für den Truststore des Plug-Ins konfigurieren.
-
Navigieren Sie zu dem Ordner, der den Plug-In-Schlüsselspeicher /opt/NetApp/snapcenter/scc/etc enthält.
-
Suchen Sie die Datei 'keystore.jks'.
-
Liste der hinzugefügten Zertifikate im Schlüsselspeicher:
keytool -list -v -keystore keystore.jks
-
Fügen Sie das CA-Zertifikat mit einem privaten und einem öffentlichen Schlüssel hinzu.
keytool -importkeystore -srckeystore /root/snapcenter.ssl.test.netapp.com.pfx -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS
-
Listen Sie die hinzugefügten Zertifikate im Schlüsselspeicher auf.
keytool -list -v -keystore keystore.jks
-
Vergewissern Sie sich, dass der Schlüsselspeicher den Alias enthält, der dem neuen CA-Zertifikat entspricht, das dem Schlüsselspeicher hinzugefügt wurde.
-
Ändern Sie das hinzugefügte Passwort für den privaten Schlüssel für das CA-Zertifikat in das Schlüsselspeicher-Passwort.
Das Standardkennwort für den Plug-in-Keystore ist der Wert des Schlüssels KEYSTORE_PASS in der Datei agent.properties.
keytool -keypasswd -alias "alias_name_in_CA_cert" -keystore keystore.jks . Wenn der Alias-Name im CA-Zertifikat lang ist und Leerzeichen oder Sonderzeichen enthält („*",","), ändern Sie den Alias-Namen in einen einfachen Namen:
keytool -changealias -alias "long_alias_name" -destalias "simple_alias" -keystore keystore.jks . Konfigurieren Sie den Alias-Namen aus dem CA-Zertifikat in der Datei agent.properties.
Diesen Wert mit dem Schlüssel SCC_CERTIFICATE_ALIAS aktualisieren.
-
Starten Sie den Dienst neu, nachdem Sie das von der Zertifizierungsstelle signierte Schlüsselpaar für den Plug-In-Truststore konfiguriert haben.
Konfigurieren der Zertifikatsperrliste (CRL) für Plug-Ins
-
SnapCenter-Plug-ins suchen in einem vorkonfigurierten Verzeichnis nach den CRL-Dateien.
-
Das Standardverzeichnis für die CRL-Dateien für SnapCenter-Plug-ins ist „opt/NetApp/snapcenter/scc/etc/crl“.
-
Sie können das Standardverzeichnis in der Datei agent.properties mit dem Schlüssel CRL_PATH ändern und aktualisieren.
Sie können mehrere CRL-Dateien in diesem Verzeichnis platzieren. Die eingehenden Zertifikate werden gegen jede CRL überprüft.