Konfigurieren Sie das CA-Zertifikat für den SnapCenter-PostgreSQL-Plug-ins-Dienst auf dem Windows-Host
Sie sollten das Passwort des benutzerdefinierten Plug-ins Keystore und dessen Zertifikat verwalten, das CA-Zertifikat konfigurieren, Root- oder Zwischenzertifikate für den benutzerdefinierten Plug-ins Trust-Store konfigurieren und das CA-signierte Schlüsselpaar auf benutzerdefinierte Plug-ins Trust-Store mit SnapCenter Custom Plug-ins Service konfigurieren, um das installierte digitale Zertifikat zu aktivieren.
Benutzerdefinierte Plug-ins verwenden die Datei keystore.jks, die sich unter C:\Program Files\NetApp\SnapCenter\SnapCenter Plug-in Creator\etc befindet, sowohl als Vertrauensspeicher als auch als Schlüsselspeicher.
Passwort für benutzerdefinierten Plug-in-Schlüsselspeicher und Alias des verwendeten CA-signierten Schlüsselpaares verwalten
-
Sie können benutzerdefinierte Plug-in Schlüsselspeicher Standardpasswort aus benutzerdefinierten Plug-in Agent Eigenschaftsdatei abrufen.
Es ist der Wert, der dem Schlüssel KEYSTORE_PASS entspricht.
-
Ändern Sie das Schlüsselspeicher-Passwort:
Keytool -storepasswd -keystore keystore.jks
Wenn der Befehl "keytool" in der Windows-Eingabeaufforderung nicht erkannt wird, ersetzen Sie den Befehl keytool mit seinem vollständigen Pfad. C:\Programme\Java\<jdk_Version>\bin\keytool.exe“ -storepasswd -keystore keystore.jks
-
Ändern Sie das Kennwort für alle Aliase privater Schlüsseleinträge im Schlüsselspeicher auf dasselbe Kennwort, das für den Schlüsselspeicher verwendet wird:
Keytool -keypasswd -alias „alias_Name_in_cert“ -keystore keystore.jks
Aktualisieren Sie das gleiche für den Schlüssel KEYSTORE_PASS in agent.properties Datei.
-
Starten Sie den Dienst neu, nachdem Sie das Passwort geändert haben.
Das Kennwort für den benutzerdefinierten Plug-in-Schlüsselspeicher und für alle zugeordneten Alias-Passwörter des privaten Schlüssels sollte gleich sein.
Konfigurieren Sie Root- oder Zwischenzertifikate in einem benutzerdefinierten Plug-in Trust-Store
Sie sollten die Stammzertifikate oder Zwischenzertifikate ohne privaten Schlüssel als benutzerdefinierten Plug-in-Vertrauensspeicher konfigurieren.
-
Navigieren Sie zum Ordner mit dem benutzerdefinierten Plug-in Schlüsselspeicher C:\Programme\NetApp\SnapCenter\SnapCenter Plug-in Creator\etc
-
Suchen Sie die Datei 'keystore.jks'.
-
Liste der hinzugefügten Zertifikate im Schlüsselspeicher:
Keytool -list -V -keystore keystore.jks
-
Fügen Sie ein Stammzertifikat oder ein Zwischenzertifikat hinzu:
Keytool -Import -trustcacerts -alias myRootCA -file /root/USERTrustRSA_Root.cer -keystore keystore.jks
-
Starten Sie den Dienst neu, nachdem Sie die Stammzertifikate oder Zwischenzertifikate in einen benutzerdefinierten Plug-in Trust-Store konfiguriert haben.
Sie sollten das Root-CA-Zertifikat und anschließend die Zwischenzertifizierungszertifikate hinzufügen. |
Konfigurieren Sie das CA-signierte Schlüsselpaar in einem benutzerdefinierten Plug-in-Vertrauensspeicher
Sie sollten das CA-signierte Schlüsselpaar für den benutzerdefinierten Plug-in Trust-Store konfigurieren.
-
Navigieren Sie zum Ordner mit dem benutzerdefinierten Plug-in Schlüsselspeicher C:\Programme\NetApp\SnapCenter\SnapCenter Plug-in Creator\etc
-
Suchen Sie die Datei keystore.jks.
-
Liste der hinzugefügten Zertifikate im Schlüsselspeicher:
Keytool -list -V -keystore keystore.jks
-
Fügen Sie das CA-Zertifikat mit einem privaten und einem öffentlichen Schlüssel hinzu.
Keytool -importkeystore -srckeystore /root/snapcenter.ssl.test.netapp.com.pfx -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS
-
Listen Sie die hinzugefügten Zertifikate im Schlüsselspeicher auf.
Keytool -list -V -keystore keystore.jks
-
Vergewissern Sie sich, dass der Schlüsselspeicher den Alias enthält, der dem neuen CA-Zertifikat entspricht, das dem Schlüsselspeicher hinzugefügt wurde.
-
Ändern Sie das hinzugefügte Passwort für den privaten Schlüssel für das CA-Zertifikat in das Schlüsselspeicher-Passwort.
Das benutzerdefinierte Standard-Plug-in-Schlüsselspeicher-Passwort ist der Wert der SCHLÜSSELDATEI KEYSTORE_PASS in agent.properties.
Keytool -keypasswd -alias „alias_Name_in_CA_cert“ -keystore keystore.jks
-
Konfigurieren Sie den Alias-Namen aus dem CA-Zertifikat in der Datei agent.properties.
Diesen Wert mit dem Schlüssel SCC_CERTIFICATE_ALIAS aktualisieren.
-
Starten Sie den Dienst neu, nachdem Sie das CA-signierte Schlüsselpaar in einen benutzerdefinierten Plug-in Trust-Store konfiguriert haben.
Konfigurieren der Zertifikatsperrliste (CRL) für benutzerdefinierte SnapCenter-Plug-ins
-
Informationen zum Herunterladen der neuesten CRL-Datei für das zugehörige CA-Zertifikat finden Sie unter "Aktualisieren der Listendatei für Zertifikatsperrlisten im SnapCenter CA-Zertifikat".
-
Benutzerdefinierte SnapCenter-Plug-ins suchen in einem vorkonfigurierten Verzeichnis nach den CRL-Dateien.
-
Das Standardverzeichnis für die CRL-Dateien für benutzerdefinierte SnapCenter Plug-ins ist 'C:\Programme\NetApp\SnapCenter\SnapCenter Plug-in Creator\ etc\crl'.
-
Sie können das Standardverzeichnis in der Datei agent.properties mit dem Schlüssel CRL_PATH ändern und aktualisieren.
-
Sie können mehrere CRL-Dateien in diesem Verzeichnis platzieren.
Die eingehenden Zertifikate werden gegen jede CRL überprüft.