Skip to main content
SnapCenter software
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar la autenticación basada en certificados

PDF

La autenticación basada en certificados mejora la seguridad al verificar la identidad tanto del servidor SnapCenter como de los hosts del complemento, lo que garantiza una comunicación segura y cifrada.

Habilitar la autenticación basada en certificados

Para habilitar la autenticación basada en certificados para SnapCenter Server y los hosts del complemento de Windows, ejecute el siguiente cmdlet de PowerShell. Para los hosts del complemento Linux, la autenticación basada en certificado se habilitará cuando habilite el SSL bidireccional.

  • Para habilitar la autenticación basada en certificado de cliente:

    Set-SmConfigSettings -Agent –configSettings @{"EnableClientCertificateAuthentication"="true"} -HostName[hostname]

  • Para deshabilitar la autenticación basada en certificado de cliente:

    Set-SmConfigSettings -Agent –configSettings @{"EnableClientCertificateAuthentication"="false"} -HostName [hostname]`

Exportar certificados de autoridad de certificación (CA) desde SnapCenter Server

Debe exportar los certificados de CA desde el servidor SnapCenter a los hosts del complemento mediante la consola de administración de Microsoft (MMC).

Antes de empezar

Deberías haber configurado el SSL bidireccional.

Pasos

  1. Vaya a la consola de administración de Microsoft (MMC) y haga clic en Archivo > Agregar o quitar complemento.

  2. En la ventana Agregar o quitar complementos, seleccione Certificados y luego haga clic en Agregar.

  3. En la ventana Complemento de certificados, seleccione la opción Cuenta de equipo y haga clic en Finalizar.

  4. Haga clic en Raíz de consola > Certificados - Equipo local > Personal > Certificados.

  5. Haga clic con el botón derecho en el certificado CA adquirido, que se utiliza para SnapCenter Server y luego seleccione Todas las tareas > Exportar para iniciar el asistente de exportación.

  6. Realice las siguientes acciones en el asistente.

Para esta opción…​ Haz lo siguiente…​

Exportar clave privada

Seleccione No, no exportar la clave privada y luego haga clic en Siguiente.

Formato de archivo de exportación

Haga clic en Siguiente.

Nombre del archivo

Haga clic en Explorar y especifique la ruta del archivo para guardar el certificado y haga clic en Siguiente.

Cómo completar el Asistente para exportar certificados

Revise el resumen y luego haga clic en Finalizar para iniciar la exportación.
Nota La autenticación basada en certificados no es compatible con las configuraciones de SnapCenter HA ni con el SnapCenter Plug-in for VMware vSphere.

Importar certificado de CA a los hosts del complemento de Windows

Para utilizar el certificado CA de SnapCenter Server exportado, debe importar el certificado relacionado a los hosts del complemento de Windows de SnapCenter mediante la consola de administración de Microsoft (MMC).

Pasos

  1. Vaya a la consola de administración de Microsoft (MMC) y haga clic en Archivo > Agregar o quitar complemento.

  2. En la ventana Agregar o quitar complementos, seleccione Certificados y luego haga clic en Agregar.

  3. En la ventana Complemento de certificados, seleccione la opción Cuenta de equipo y haga clic en Finalizar.

  4. Haga clic en Raíz de consola > Certificados - Equipo local > Personal > Certificados.

  5. Haga clic derecho en la carpeta “Personal” y luego seleccione Todas las tareas > Importar para iniciar el asistente de importación.

  6. Realice las siguientes acciones en el asistente.

Para esta opción…​ Haz lo siguiente…​

Ubicación de la tienda

Haga clic en Siguiente.

Archivo a importar

Seleccione el certificado de SnapCenter Server que termina con la extensión .cer.

Tienda de certificados

Haga clic en Siguiente.

Cómo completar el Asistente para exportar certificados

Revise el resumen y luego haga clic en Finalizar para iniciar la importación.

Importar certificado CA a los hosts del complemento UNIX

Debe importar el certificado CA a los hosts del complemento UNIX.

Acerca de esta tarea

  • Puede administrar la contraseña para el almacén de claves SPL y el alias del par de claves firmadas por CA en uso.

  • La contraseña para el almacén de claves SPL y para todas las contraseñas de alias asociadas de la clave privada deben ser las mismas.

Pasos

  1. Puede recuperar la contraseña predeterminada del almacén de claves SPL desde el archivo de propiedades SPL. Es el valor correspondiente a la clave SPL_KEYSTORE_PASS .

  2. Cambiar la contraseña del almacén de claves: $ keytool -storepasswd -keystore keystore.jks

  3. Cambie la contraseña de todos los alias de las entradas de clave privada en el almacén de claves a la misma contraseña utilizada para el almacén de claves: $ keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks

  4. Actualice lo mismo para la clave SPL_KEYSTORE_PASS en spl.properties` archivo.

  5. Reinicie el servicio después de cambiar la contraseña.

Configurar certificados raíz o intermedios para el almacén de confianza SPL

Debe configurar los certificados raíz o intermedios en el almacén de confianza SPL. Debe agregar el certificado de CA raíz y luego los certificados de CA intermedios.

Pasos

  1. Navegue hasta la carpeta que contiene el almacén de claves SPL: /var/opt/snapcenter/spl/etc .

  2. Localizar el archivo keystore.jks .

  3. Enumere los certificados agregados en el almacén de claves: $ keytool -list -v -keystore keystore.jks

  4. Agregar un certificado raíz o intermedio: $ keytool -import -trustcacerts -alias <AliasNameForCerticateToBeImported> -file /<CertificatePath> -keystore keystore.jks

  5. Reinicie el servicio después de configurar los certificados raíz o intermedios en el almacén de confianza SPL.

Configurar el par de claves firmadas de CA para el almacén de confianza SPL

Debe configurar el par de claves firmadas por CA en el almacén de confianza SPL.

Pasos

  1. Navegue hasta la carpeta que contiene el almacén de claves del SPL /var/opt/snapcenter/spl/etc .

  2. Localizar el archivo keystore.jks` .

  3. Enumere los certificados agregados en el almacén de claves: $ keytool -list -v -keystore keystore.jks

  4. Agregue el certificado CA que tenga clave privada y pública. $ keytool -importkeystore -srckeystore <CertificatePathToImport> -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS

  5. Enumere los certificados agregados en el almacén de claves. $ keytool -list -v -keystore keystore.jks

  6. Verifique que el almacén de claves contenga el alias correspondiente al nuevo certificado de CA, que se agregó al almacén de claves.

  7. Cambie la contraseña de clave privada agregada para el certificado de CA a la contraseña del almacén de claves.

    La contraseña del almacén de claves SPL predeterminada es el valor de la clave SPL_KEYSTORE_PASS en spl.properties archivo.

    $ keytool -keypasswd -alias "<aliasNameOfAddedCertInKeystore>" -keystore keystore.jks`

  8. Si el nombre de alias en el certificado de CA es largo y contiene espacios o caracteres especiales ("*",","), cambie el nombre de alias a un nombre simple: $ keytool -changealias -alias "<OrignalAliasName>" -destalias "<NewAliasName>" -keystore keystore.jks`

  9. Configure el nombre de alias del almacén de claves ubicado en spl.properties archivo. Actualice este valor con la clave SPL_CERTIFICATE_ALIAS.

  10. Reinicie el servicio después de configurar el par de claves firmadas por CA en el almacén de confianza SPL.

Exportar certificados de SnapCenter

Debe exportar los certificados de SnapCenter en formato .pfx.

Pasos

  1. Vaya a la consola de administración de Microsoft (MMC) y haga clic en Archivo > Agregar o quitar complemento.

  2. En la ventana Agregar o quitar complementos, seleccione Certificados y luego haga clic en Agregar.

  3. En la ventana del complemento Certificados, seleccione la opción Mi cuenta de usuario y, a continuación, haga clic en Finalizar.

  4. Haga clic en Consola raíz > Certificados - Usuario actual > Autoridades de certificación raíz de confianza > Certificados.

  5. Haga clic con el botón derecho en el certificado que tiene el nombre descriptivo de SnapCenter y luego seleccione Todas las tareas > Exportar para iniciar el asistente de exportación.

  6. Complete el asistente de la siguiente manera:

    En esta ventana del asistente…​ Haz lo siguiente…​

    Exportar clave privada

    Seleccione la opción Sí, exportar la clave privada y luego haga clic en Siguiente.

    Formato de archivo de exportación

    No realice cambios; haga clic en Siguiente.

    Seguridad

    Especifique la nueva contraseña que se utilizará para el certificado exportado y luego haga clic en Siguiente.

    Archivo para exportar

    Especifique un nombre de archivo para el certificado exportado (debe usar .pfx) y luego haga clic en Siguiente.

    Cómo completar el Asistente para exportar certificados

    Revise el resumen y luego haga clic en Finalizar para iniciar la exportación.