Skip to main content
NetApp Backup and Recovery
Todos los proveedores de nube
  • Servicios web de Amazon
  • Google Cloud
  • Microsoft Azure
  • Todos los proveedores de nube
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar certificados de seguridad para StorageGRID y ONTAP en NetApp Backup and Recovery

Colaboradores netapp-mwallis
PDF

Cree un certificado de seguridad para habilitar la comunicación entre NetApp Backup and Recovery y StorageGRID u ONTAP.

Crear un certificado de seguridad para StorageGRID

Si la comunicación entre los contenedores de NetApp Backup and Recovery y StorageGRID debe verificar el certificado de StorageGRID , complete los siguientes pasos.

El certificado generado debe tener CN y nombre alternativo del sujeto como el nombre proporcionado en NetApp Backup and Recovery cuando activó la copia de seguridad.

Pasos

  1. Siga los pasos de la documentación de StorageGRID para crear el certificado de StorageGRID .

    "Información de StorageGRID sobre la configuración de certificados"

  2. Actualice StorageGRID con el certificado si aún no lo ha hecho.

  3. Inicie sesión en el agente de la consola como usuario raíz. Correr:

    sudo su

  4. Obtenga el volumen Docker de NetApp Backup and Recovery (Cloud Backup Service). Correr:

    docker volume ls | grep cbs

    Ejemplo de salida:

    local service-manager-2_cloudmanager_cbs_volume"
    Nota El nombre del volumen difiere entre los modos de implementación Estándar, Privado y Restringido. Este ejemplo utiliza el modo estándar. Referirse a "Modos de implementación de la NetApp Console" .

  5. Encuentre el punto de montaje del volumen de NetApp Backup and Recovery . Correr:

    docker volume inspect service-manager-2_cloudmanager_cbs_volume | grep Mountpoint

    Ejemplo de salida:

    "Mountpoint": "/var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data"
    Nota El punto de montaje difiere entre los modos de implementación Estándar, Privado y Restringido. Este ejemplo muestra una implementación de nube estándar. Referirse a "Modos de implementación de la NetApp Console" .

  6. Cambie al directorio MountPoint. Correr:

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  7. Si el certificado de StorageGRID está firmado por la CA raíz y una CA intermedia, entonces agregue el pem archivos de ambos en un solo archivo llamado sgws.crt en la ubicación actual. No agregue el certificado de hoja a este archivo.

Pasos para el contenedor cloudmanager_cbs

Necesitará habilitar la verificación del certificado del servidor StorageGRID en NetApp Backup and Recovery (Cloud Backup Service).

  1. Cambie los directorios al volumen Docker obtenido en los pasos anteriores.

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  2. Cambie los directorios al directorio de configuración.

    cd cbs_config

  3. Cree y guarde un archivo de configuración como se muestra a continuación con uno de los siguientes nombres según su entorno de implementación:

    • `production-customer.json`Se utiliza para implementaciones en modo estándar y modo restringido.

    • `darksite-customer.json`Se utiliza para implementaciones en modo privado.

      Referirse a "Modos de implementación de la NetApp Console" .

      Archivo de configuración

    {
  "protocols": {
    "sgws": {
      "certificates": {
        "reject-unauthorized": true,
        "ca-bundle": "/config/sgws.crt"
      }
    }
  }
}

  4. Salir del contenedor. Correr:

    exit

  5. Reanudar cloudmanager_cbs . Correr:

    docker restart cloudmanager_cbs

Pasos para el contenedor cloudmanager_cbs_catalog

A continuación, deberá habilitar la verificación del certificado del servidor StorageGRID para el servicio de catalogación.

  1. Cambiar directorios al volumen Docker:

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  2. Configurar el catálogo. Correr:

    cd cbs_catalog_config

  3. Cree un archivo de configuración como se muestra a continuación con uno de los siguientes nombres según su entorno de implementación:

    • `production-customer.json`Se utiliza para implementaciones en modo estándar y modo restringido.

    • `darksite-customer.json`Se utiliza para implementaciones en modo privado.

      Referirse a "Modos de implementación de la NetApp Console" .

      Archivo de configuración del catálogo

    {
  "protocols": {
    "sgws": {
      "certificates": {
        "reject-unauthorized": true,
        "ca-bundle": "/config/sgws.crt"
      }
    }
  }
}

  4. Reiniciar el catálogo. Correr:

    docker restart cloudmanager_cbs_catalog

Actualice el certificado del agente de la consola con el certificado StorageGRID según el sistema operativo del agente

Ubuntu

  1. Copiar el certificado SGWS a /usr/local/share/ca-certificates . He aquí un ejemplo:

    cp /config/sgws.crt /usr/local/share/ca-certificates/

    dónde sgws.crt es el certificado CA raíz.

  2. Actualice los certificados del host con el certificado StorageGRID . Correr

    sudo update-ca-certificates

Red Hat Enterprise Linux

  1. Copiar el certificado SGWS a /etc/pki/ca-trust/source/anchors/ .

    cp /config/sgws.crt /etc/pki/ca-trust/source/anchors/

    dónde sgws.crt es el certificado CA raíz.

  2. Actualice los certificados del host con el certificado StorageGRID .

    update-ca-trust extract

  3. Actualizar el ca-bundle.crt

    cd /etc/pki/tls/certs/
openssl x509 -in ca-bundle.crt -text -noout

  4. Para comprobar si los certificados están presentes, ejecute el siguiente comando:

    openssl crl2pkcs7 -nocrl -certfile /etc/pki/tls/certs/ca-bundle.crt | openssl pkcs7 -print_certs | grep subject | head

Crear un certificado de seguridad para ONTAP

Si la comunicación entre los contenedores de NetApp Backup and Recovery y ONTAP debe validar el certificado de ONTAP , complete los siguientes pasos.

NetApp Backup and Recovery utiliza la IP de administración de clúster para conectarse a ONTAP. Introduzca la dirección IP del clúster en los nombres alternativos del sujeto del certificado. Especifique este paso cuando genere la CSR mediante la interfaz de usuario del Administrador del sistema.

Utilice la documentación del Administrador del sistema para crear un nuevo certificado CA para ONTAP.

Pasos

  1. Inicie sesión en el agente de la consola como root. Correr:

    sudo su

  2. Obtenga el volumen Docker de NetApp Backup and Recovery . Correr:

    docker volume ls | grep cbs

    Ejemplo de salida:

    local service-manager-2_cloudmanager_cbs_volume
    Nota El nombre del volumen difiere entre los modos de implementación Estándar, Privado y Restringido. Este ejemplo muestra una implementación de nube estándar. Referirse a "Modos de implementación de la NetApp Console" .

  3. Obtenga el soporte para el volumen. Correr:

    docker volume inspect service-manager-2_cloudmanager_cbs_volume | grep Mountpoint

    Ejemplo de salida:

    "Mountpoint": "/var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data
    Nota El punto de montaje difiere entre los modos de implementación Estándar, Privado y Restringido. Este ejemplo muestra una implementación de nube estándar. Referirse a "Modos de implementación de la NetApp Console" .

  4. Cambiar al directorio del punto de montaje. Correr:

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  5. Complete uno de los siguientes pasos:

    • Si el certificado ONTAP está firmado por la CA raíz y una CA intermedia, entonces agregue el pem archivos de ambos en un solo archivo llamado ontap.crt en la ubicación actual.

    • Si el certificado ONTAP está firmado por una sola CA, cambie el nombre del certificado. pem archivar como ontap.crt y copiarlo en la ubicación actual. No agregue el certificado de hoja a este archivo.

Pasos para el contenedor cloudmanager_cbs

A continuación, habilite la verificación del certificado del servidor ONTAP en NetApp Backup and Recovery (Cloud Backup Service).

  1. Cambie los directorios al volumen Docker obtenido en los pasos anteriores.

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  2. Cambie al directorio de configuración. Correr:

    cd cbs_config

  3. Cree un archivo de configuración como se muestra a continuación con uno de los siguientes nombres según su entorno de implementación:

    • `production-customer.json`Se utiliza para implementaciones en modo estándar y modo restringido.

    • `darksite-customer.json`Se utiliza para implementaciones en modo privado.

      Referirse a "Modos de implementación de la NetApp Console" .

      Archivo de configuración

    {
  "ontap": {
    "certificates": {
      "reject-unauthorized": true,
      "ca-bundle": "/config/ontap.crt"
    }
  }
}

  4. Salir del contenedor. Correr:

    exit

  5. Reinicie NetApp Backup and Recovery. Correr:

    docker restart cloudmanager_cbs

Pasos para el contenedor cloudmanager_cbs_catalog

Habilite la verificación del certificado del servidor ONTAP para el servicio de catalogación.

  1. Cambiar directorios al volumen Docker. Correr:

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  2. Correr:

    cd cbs_catalog_config

  3. Cree un archivo de configuración como se muestra a continuación con uno de los siguientes nombres según su entorno de implementación:

    • `production-customer.json`Se utiliza para implementaciones en modo estándar y modo restringido.

    • `darksite-customer.json`Se utiliza para implementaciones en modo privado.

      Referirse a "Modos de implementación de la NetApp Console" .

      Archivo de configuración

    {
  "ontap": {
    "certificates": {
      "reject-unauthorized": true,
      "ca-bundle": "/config/ontap.crt"
    }
  }
}

  4. Reinicie NetApp Backup and Recovery. Correr:

    docker restart cloudmanager_cbs_catalog

Cree un certificado para ONTAP y StorageGRID

Si necesita habilitar el certificado tanto para ONTAP como para StorageGRID, el archivo de configuración se verá así:

Archivo de configuración para ONTAP y StorageGRID

{
  "protocols": {
    "sgws": {
      "certificates": {
        "reject-unauthorized": true,
        "ca-bundle": "/config/sgws.crt"
      }
    }
  },
  "ontap": {
    "certificates": {
      "reject-unauthorized": true,
      "ca-bundle": "/config/ontap.crt"
    }
  }
}