Configurar conexiones MySQL seguras con SnapCenter Server
Puede generar certificados de capa de sockets seguros (SSL) y archivos de clave si desea proteger la comunicación entre SnapCenter Server y MySQL Server en configuraciones independientes o configuraciones de equilibrio de carga de red (NLB).
Configurar conexiones MySQL seguras para configuraciones independientes de SnapCenter Server
Puede generar certificados de capa de sockets seguros (SSL) y archivos de clave si desea proteger la comunicación entre SnapCenter Server y MySQL Server. Debe configurar los certificados y los archivos de clave en el servidor MySQL y en el servidor SnapCenter .
Se generan los siguientes certificados:
-
Certificado CA
-
Certificado público del servidor y archivo de clave privada
-
Certificado público del cliente y archivo de clave privada
Pasos
-
Configure los certificados SSL y los archivos de clave para servidores y clientes MySQL en Windows mediante el comando openssl.
Para obtener más información, consulte "MySQL versión 5.7: Creación de certificados y claves SSL mediante openssl"
El valor del nombre común que se utiliza para el certificado del servidor, el certificado del cliente y los archivos de clave debe ser diferente del valor del nombre común que se utiliza para el certificado de CA. Si los valores del nombre común son los mismos, los archivos de certificado y de clave fallan en los servidores compilados mediante OpenSSL. Mejor práctica: Debe utilizar el nombre de dominio completo (FQDN) del servidor como nombre común para el certificado del servidor.
-
Copie los certificados SSL y los archivos de clave a la carpeta MySQL Data.
La ruta de la carpeta de datos MySQL predeterminada es
C:\ProgramData\NetApp\SnapCenter\MySQL Data\Data\
. -
Actualice las rutas del certificado CA, el certificado público del servidor, el certificado público del cliente, la clave privada del servidor y la clave privada del cliente en el archivo de configuración del servidor MySQL (my.ini).
La ruta del archivo de configuración del servidor MySQL predeterminado (my.ini) es
C:\ProgramData\NetApp\SnapCenter\MySQL Data\my.ini
.Debe especificar las rutas del certificado CA, del certificado público del servidor y de la clave privada del servidor en la sección [mysqld] del archivo de configuración del servidor MySQL (my.ini). Debe especificar las rutas del certificado CA, del certificado público del cliente y de la clave privada del cliente en la sección [client] del archivo de configuración del servidor MySQL (my.ini).
El siguiente ejemplo muestra los certificados y archivos de clave copiados en la sección [mysqld] del archivo my.ini en la carpeta predeterminada
C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data
.ssl-ca="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/ca.pem"
ssl-cert="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/server-cert.pem"
ssl-key="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/server-key.pem"
El siguiente ejemplo muestra las rutas actualizadas en la sección [client] del archivo my.ini.
ssl-ca="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/ca.pem"
ssl-cert="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/client-cert.pem"
ssl-key="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/client-key.pem"
-
Detenga la aplicación web SnapCenter Server en Internet Information Server (IIS).
-
Reinicie el servicio MySQL.
-
Actualice el valor de la clave MySQLProtocol en el archivo .Web.UI.dll.config de SnapManager.
El siguiente ejemplo muestra el valor de la clave MySQLProtocol actualizada en el archivo .Web.UI.dll.config de SnapManager.
<add key="MySQLProtocol" value="SSL" />
-
Actualice el archivo .Web.UI.dll.config de SnapManager con las rutas que se proporcionaron en la sección [client] del archivo my.ini.
El siguiente ejemplo muestra las rutas actualizadas en la sección [client] del archivo my.ini.
<add key="ssl-client-cert" value="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/client-cert.pem" />
<add key="ssl-client-key" value="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/client-key.pem" />
<add key="ssl-ca" value="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/ca.pem" />
-
Inicie la aplicación web SnapCenter Server en IIS.
Configurar conexiones MySQL seguras para configuraciones de alta disponibilidad
Puede generar certificados de capa de sockets seguros (SSL) y archivos de clave para ambos nodos de alta disponibilidad (HA) si desea proteger la comunicación entre SnapCenter Server y los servidores MySQL. Debe configurar los certificados y los archivos de clave en los servidores MySQL y en los nodos HA.
Se generan los siguientes certificados:
-
Certificado CA
Se genera un certificado CA en uno de los nodos HA y este certificado CA se copia en el otro nodo HA.
-
Archivos de certificado público del servidor y de clave privada del servidor para ambos nodos de alta disponibilidad
-
Certificado público del cliente y archivos de clave privada del cliente para ambos nodos de alta disponibilidad
Pasos
-
Para el primer nodo HA, configure los certificados SSL y los archivos de clave para los servidores y clientes MySQL en Windows mediante el comando openssl.
Para obtener más información, consulte "MySQL versión 5.7: Creación de certificados y claves SSL mediante openssl"
El valor del nombre común que se utiliza para el certificado del servidor, el certificado del cliente y los archivos de clave debe ser diferente del valor del nombre común que se utiliza para el certificado de CA. Si los valores del nombre común son los mismos, los archivos de certificado y de clave fallan en los servidores compilados mediante OpenSSL. Mejor práctica: Debe utilizar el nombre de dominio completo (FQDN) del servidor como nombre común para el certificado del servidor.
-
Copie los certificados SSL y los archivos de clave a la carpeta MySQL Data.
La ruta de la carpeta de datos MySQL predeterminada es C:\ProgramData\ NetApp\ SnapCenter\MySQL Data\Data\.
-
Actualice las rutas del certificado CA, el certificado público del servidor, el certificado público del cliente, la clave privada del servidor y la clave privada del cliente en el archivo de configuración del servidor MySQL (my.ini).
La ruta del archivo de configuración del servidor MySQL predeterminado (my.ini) es C:\ProgramData\ NetApp\ SnapCenter\ MySQL Data\my.ini.
Debe especificar las rutas del certificado CA, del certificado público del servidor y de la clave privada del servidor en la sección [mysqld] del archivo de configuración del servidor MySQL (my.ini). Debe especificar las rutas del certificado CA, del certificado público del cliente y de la clave privada del cliente en la sección [client] del archivo de configuración del servidor MySQL (my.ini).
El siguiente ejemplo muestra los certificados y los archivos de clave copiados en la sección [mysqld] del archivo my.ini en la carpeta predeterminada C:/ProgramData/ NetApp/ SnapCenter/MySQL Data/Data.
ssl-ca="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/ca.pem"
ssl-cert="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/server-cert.pem"
ssl-key="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/server-key.pem"
El siguiente ejemplo muestra las rutas actualizadas en la sección [client] del archivo my.ini.
ssl-ca="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/ca.pem"
ssl-cert="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/client-cert.pem"
ssl-key="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/client-key.pem"
-
Para el segundo nodo HA, copie el certificado de CA y genere el certificado público del servidor, los archivos de clave privada del servidor, el certificado público del cliente y los archivos de clave privada del cliente. Realice los siguientes pasos:
-
Copie el certificado CA generado en el primer nodo HA a la carpeta de datos MySQL del segundo nodo NLB.
La ruta de la carpeta de datos MySQL predeterminada es C:\ProgramData\ NetApp\ SnapCenter\MySQL Data\Data\.
No debe volver a crear un certificado CA. Debe crear únicamente el certificado público del servidor, el certificado público del cliente, el archivo de clave privada del servidor y el archivo de clave privada del cliente. -
Para el primer nodo HA, configure los certificados SSL y los archivos de clave para los servidores y clientes MySQL en Windows mediante el comando openssl.
El valor del nombre común que se utiliza para el certificado del servidor, el certificado del cliente y los archivos de clave debe ser diferente del valor del nombre común que se utiliza para el certificado de CA. Si los valores del nombre común son los mismos, los archivos de certificado y de clave fallan en los servidores compilados mediante OpenSSL. Se recomienda utilizar el FQDN del servidor como nombre común para el certificado del servidor.
-
Copie los certificados SSL y los archivos de clave a la carpeta MySQL Data.
-
Actualice las rutas del certificado CA, el certificado público del servidor, el certificado público del cliente, la clave privada del servidor y la clave privada del cliente en el archivo de configuración del servidor MySQL (my.ini).
Debe especificar las rutas del certificado CA, del certificado público del servidor y de la clave privada del servidor en la sección [mysqld] del archivo de configuración del servidor MySQL (my.ini). Debe especificar las rutas del certificado CA, del certificado público del cliente y de la clave privada del cliente en la sección [client] del archivo de configuración del servidor MySQL (my.ini).
El siguiente ejemplo muestra los certificados y los archivos de clave copiados en la sección [mysqld] del archivo my.ini en la carpeta predeterminada C:/ProgramData/ NetApp/ SnapCenter/MySQL Data/Data.
ssl-ca="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/ca.pem"
ssl-cert="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/server-cert.pem"
ssl-key="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/server-key.pem"
El siguiente ejemplo muestra las rutas actualizadas en la sección [client] del archivo my.ini.
ssl-ca="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/ca.pem"
+
ssl-cert="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/server-cert.pem"
+
ssl-key="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/server-key.pem"
-
-
Detenga la aplicación web SnapCenter Server en Internet Information Server (IIS) en ambos nodos de alta disponibilidad.
-
Reinicie el servicio MySQL en ambos nodos HA.
-
Actualice el valor de la clave MySQLProtocol en el archivo .Web.UI.dll.config de SnapManager para ambos nodos HA.
El siguiente ejemplo muestra el valor de la clave MySQLProtocol actualizada en el archivo .Web.UI.dll.config de SnapManager.
<add key="MySQLProtocol" value="SSL" />
-
Actualice el archivo .Web.UI.dll.config de SnapManager con las rutas que especificó en la sección [client] del archivo my.ini para ambos nodos de HA.
El siguiente ejemplo muestra las rutas actualizadas en la sección [client] de los archivos my.ini.
<add key="ssl-client-cert" value="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/client-cert.pem" />
<add key="ssl-client-key" value="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/client-key.pem" />
<add key="ssl-ca" value="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/ca.pem" />
-
Inicie la aplicación web SnapCenter Server en IIS en ambos nodos de alta disponibilidad.
-
Utilice el cmdlet de PowerShell Set-SmRepositoryConfig -RebuildSlave -Force con la opción -Force en uno de los nodos de alta disponibilidad para establecer una replicación MySQL segura en ambos nodos de alta disponibilidad.
Incluso si el estado de replicación es saludable, la opción -Force le permite reconstruir el repositorio esclavo.