Configure el certificado de CA con el servicio de cargador de plugins de SnapCenter (SPL) en el host Linux
Debe gestionar la contraseña del almacén de claves de SPL y su certificado, configurar el certificado de CA, configurar los certificados raíz o intermedios para el almacén de confianza de SPL y configurar la pareja de claves firmadas de CA para el almacén de confianza de SPL con el servicio de cargador de plugins de SnapCenter para activar el certificado digital instalado.
|
SPL utiliza el archivo 'keystore.jks', que se encuentra en ‘/var/opt/snapcenter/spl/etc’ tanto como su almacén de confianza como su almacén de claves. |
Gestione la contraseña para el almacén de claves SPL y el alias de la pareja de claves firmada de CA en uso
-
Pasos*
-
Puede recuperar la contraseña predeterminada del almacén de claves del SPL desde el archivo de propiedades del SPL.
Es el valor correspondiente a la clave 'PL_KEYSTORE_PASS'.
-
Cambie la contraseña del almacén de claves:
keytool -storepasswd -keystore keystore.jks . Cambie la contraseña para todos los alias de las entradas de clave privada en el almacén de claves por la misma contraseña utilizada para el almacén de claves:
keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks
Actualice lo mismo para la clave SPL_KEYSTORE_PASS en el archivo spl.properties.1.
-
Reinicie el servicio después de cambiar la contraseña.
-
|
La contraseña para el almacén de claves SPL y para toda la contraseña de alias asociada de la clave privada debe ser la misma. |
Configure los certificados intermedios o de raíz para el almacén de confianza SPL
Debe configurar los certificados intermedios o de raíz sin la clave privada en el almacén de confianza de SPL.
-
Pasos*
-
Desplácese hasta la carpeta que contiene el almacén de claves SPL: /var/opt/snapcenter/spl/etc.
-
Busque el archivo 'keystore.jks'.
-
Enumere los certificados añadidos al almacén de claves:
keytool -list -v -keystore keystore.jks . Añada un certificado raíz o intermedio:
keytool -import -trustcacerts -alias <AliasNameForCerticateToBeImported> -file /<CertificatePath> -keystore keystore.jks . Reinicie el servicio después de configurar los certificados raíz o intermedios en el almacén de confianza de SPL.
-
|
Debe añadir el certificado de CA raíz y luego los certificados de CA intermedios. |
Configure la pareja de claves firmados de CA para el almacén de confianza SPL
Debe configurar la pareja de claves firmada de CA en el almacén de confianza del SPL.
-
Pasos*
-
Desplácese hasta la carpeta que contiene el almacén de claves /var/opt/snapcenter/spl/etc. de SPL
-
Busque el archivo 'keystore.jks'.
-
Enumere los certificados añadidos al almacén de claves:
keytool -list -v -keystore keystore.jks . Agregue el certificado de CA con clave pública y privada.
keytool -importkeystore -srckeystore <CertificatePathToImport> -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS . Enumere los certificados añadidos al almacén de claves.
keytool -list -v -keystore keystore.jks . Compruebe que el almacén de claves contiene el alias correspondiente al nuevo certificado de CA, que se añadió al almacén de claves. . Cambie la contraseña de clave privada añadida para el certificado de CA a la contraseña del almacén de claves.
La contraseña predeterminada del almacén de claves SPL es el valor de la clave SPL_KEYSTORE_PASS en el archivo spl.properties.
keytool -keypasswd -alias "<aliasNameOfAddedCertInKeystore>" -keystore keystore.jks . Si el nombre del alias del certificado de CA es largo y contiene espacio o caracteres especiales ("*",","), cambie el nombre del alias por un nombre simple:
keytool -changealias -alias "<OrignalAliasName>" -destalias "<NewAliasName>" -keystore keystore.jks . Configure el nombre de alias del almacén de claves ubicado en el archivo spl.propertiesI.
Actualice este valor contra la clave SPL_CERTIFICATE_ALIAS.
-
Reinicie el servicio después de configurar el par de claves firmado de CA en el almacén de confianza SPL.
-
Configurar la lista de revocación de certificados (CRL) para SPL
Debe configurar la CRL para SPL
Acerca de esta tarea
-
SPL buscará los archivos CRL en un directorio preconfigurado.
-
El directorio predeterminado para los archivos CRL de SPL es /var/opt/snapcenter/spl/etc/crl.
-
Pasos*
-
Puede modificar y actualizar el directorio predeterminado del archivo spl.properties con respecto a la CLAVE SPL_CRL_PATH.
-
Puede colocar más de un archivo CRL en este directorio.
Los certificados entrantes se verificarán en cada CRL.
-