Configure el certificado de CA para el servicio de plugins SAP HANA de SnapCenter en el host Windows
Debe gestionar la contraseña del almacén de claves de plugins personalizados y su certificado, configurar el certificado de CA, configurar los certificados intermedios o raíz para el almacén de confianza de los plugins personalizados, y configurar la pareja de claves firmadas de CA como almacén de confianza de plugins personalizados con el servicio de plugins personalizados de SnapCenter para activar el certificado digital instalado.
Los plugins personalizados utilizan el archivo keystore.jks, que se encuentra en C:\Program Files\NetApp\SnapCenter\Snapcenter Plug-in Creator\etc, tanto como su almacén de confianza como su almacén de claves.
Gestionar contraseña para el almacén de claves del plugin personalizado y el alias de la pareja de claves firmada de CA en uso
-
Puede recuperar la contraseña predeterminada del almacén de claves del plugin personalizado desde el archivo de propiedades del agente del plugin personalizado.
Es el valor que corresponde a la clave KEYSTORE_PASS.
-
Cambie la contraseña del almacén de claves:
keytool -storepasswd -keystore.jks
Si el comando "keytool" no se reconoce en el símbolo del sistema de Windows, reemplace el comando keytool por su ruta completa. C:\Archivos de programa\Java\<jdk_version>\bin\keytool.exe" -storepasswd -keystore.jks
-
Cambie la contraseña para todos los alias de las entradas de clave privada en el almacén de claves por la misma contraseña utilizada para el almacén de claves:
keytool -keypasswd -alias "alias_name_in_cert" -keystore keystore.jks
Actualice lo mismo para el archivo key KEYSTORE_PASS en agent.properties.
-
Reinicie el servicio después de cambiar la contraseña.
La contraseña para el almacén de claves de plugin personalizado y para toda la contraseña de alias asociada de la clave privada debe ser la misma.
Configure los certificados intermedios o de raíz para el almacén de confianza del plugin personalizado
Debe configurar los certificados intermedios o de raíz sin la clave privada para personalizar el almacén de confianza del plugin.
-
Desplácese hasta la carpeta que contiene el almacén de claves del plugin personalizado C:\Program Files\NetApp\SnapCenter\Snapcenter Plug-in Creator\etc
-
Busque el archivo 'keystore.jks'.
-
Enumere los certificados añadidos al almacén de claves:
keytool -list -v -keystore.jks
-
Añada un certificado raíz o intermedio:
Keytool -import -trustcacerts -alias myRootCA -file /root/USERTrustRSA_Root.cer -keystore.jks
-
Reinicie el servicio después de configurar los certificados raíz o intermedios en el almacén de confianza del plugin personalizado.
Debe añadir el certificado de CA raíz y luego los certificados de CA intermedios. |
Configure el par de claves firmadas de CA para el almacén de confianza del plugin personalizado
Debe configurar la pareja de claves firmadas de CA en el almacén de confianza del plugin personalizado.
-
Desplácese hasta la carpeta que contiene el almacén de claves del plugin personalizado C:\Program Files\NetApp\SnapCenter\Snapcenter Plug-in Creator\etc
-
Busque el archivo keystore.jks.
-
Enumere los certificados añadidos al almacén de claves:
keytool -list -v -keystore.jks
-
Agregue el certificado de CA con clave pública y privada.
Keytool -importkeystore -srckeystore /root/snapcenter.ssl.test.netapp.com.pfx -srcstoretype pkcs12 -destkeystore.jks -deststoretype JKS
-
Enumere los certificados añadidos al almacén de claves.
keytool -list -v -keystore.jks
-
Compruebe que el almacén de claves contiene el alias correspondiente al nuevo certificado de CA, que se añadió al almacén de claves.
-
Cambie la contraseña de clave privada añadida para el certificado de CA a la contraseña del almacén de claves.
La contraseña predeterminada del plugin personalizado keystore es el valor de key KEYSTORE_PASS en el archivo agent.properties.
Keytool -keypasswd -alias "alias_name_in_CA_cert" -keystore.jks
-
Configure el nombre del alias del certificado de CA en el archivo agent.properties.
Actualice este valor con la clave SCC_CERTIFICATE_ALIAS.
-
Reinicie el servicio después de configurar el par de claves firmado de CA en el almacén de confianza del plugin personalizado.
Configurar la lista de revocación de certificados (CRL) para los plugins personalizados de SnapCenter
-
Para descargar el último archivo CRL del certificado de CA relacionado, consulte "Cómo actualizar el archivo de lista de revocación de certificados en el certificado de CA de SnapCenter".
-
Los complementos personalizados de SnapCenter buscarán los archivos CRL en un directorio preconfigurado.
-
El directorio predeterminado de los archivos CRL de los plugins personalizados de SnapCenter es 'C:\Archivos de programa\NetApp\SnapCenter\Snapcenter Plug-in Creator\ etc\crl'.
-
Puede modificar y actualizar el directorio predeterminado del archivo agent.properties en función de la CLAVE CRL_PATH.
-
Puede colocar más de un archivo CRL en este directorio.
Los certificados entrantes se verificarán en cada CRL.