Configurar la comunicación SSL bidireccional en el host Linux
Debe configurar la comunicación SSL bidireccional para proteger la comunicación mutua entre SnapCenter Server en el host Linux y los complementos.
-
Debería haber configurado el certificado CA para el host Linux.
-
Debe haber habilitado la comunicación SSL bidireccional en todos los hosts del complemento y en el servidor SnapCenter .
-
Copie certificate.pem a /etc/pki/ca-trust/source/anchors/.
-
Agregue los certificados en la lista de confianza de su host Linux.
-
cp root-ca.pem /etc/pki/ca-trust/source/anchors/
-
cp certificate.pem /etc/pki/ca-trust/source/anchors/
-
update-ca-trust extract
-
-
Verifique si los certificados se agregaron a la lista de confianza.
trust list | grep "<CN of your certificate>"
-
Actualice ssl_certificate y ssl_certificate_key en el archivo nginx de SnapCenter y reinicie.
-
vim /etc/nginx/conf.d/snapcenter.conf
-
systemctl restart nginx
-
-
Actualice el enlace de la GUI del servidor SnapCenter .
-
Actualice los valores de las siguientes claves en * SnapManager.Web.UI.dll.config* ubicado en _ /<ruta de instalación>/ NetApp/snapcenter/SnapManagerWeb_ y * SMCoreServiceHost.dll.config* ubicado en /<ruta de instalación>/ NetApp/snapcenter/SMCore.
-
<add key="SERVICE_CERTIFICATE_PATH" value="<ruta del certificado.pfx>" />
-
<add key="CONTRASEÑA_DEL_CERTIFICADO_DE_SERVICIO" value="<contraseña>"/>
-
-
Reinicie los siguientes servicios.
-
systemctl restart smcore.service
-
systemctl restart snapmanagerweb.service
-
-
Verifique que el certificado esté adjunto al puerto web de SnapManager .
openssl s_client -connect localhost:8146 -brief
-
Verifique que el certificado esté adjunto al puerto smcore.
openssl s_client -connect localhost:8145 -brief
-
Administrar la contraseña para el almacén de claves y alias de SPL.
-
Recupere la contraseña predeterminada del almacén de claves SPL asignada a la clave SPL_KEYSTORE_PASS en el archivo de propiedades SPL.
-
Cambiar la contraseña del almacén de claves.
keytool -storepasswd -keystore keystore.jks
-
Cambiar la contraseña de todos los alias de las entradas de clave privada.
keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks
-
Actualice la misma contraseña para la clave SPL_KEYSTORE_PASS en spl.properties.
-
Reiniciar el servicio.
-
-
En el host Linux del complemento, agregue los certificados raíz e intermedio en el almacén de claves del complemento SPL.
-
keytool -import -trustcacerts -alias <any preferred alias name> -file <path of root-ca.pem> -keystore <path of keystore.jks mentioned in spl.properties file>
-
keytool -importkeystore -srckeystore <path of certificate.pfx> -srcstoretype pkcs12 -destkeystore <path of keystore.jks mentioned in spl.properties file> -deststoretype JKS
-
Compruebe las entradas en keystore.jks.
keytool -list -v -keystore <path to keystore.jks>
-
Cambie el nombre de cualquier alias si es necesario.
keytool -changealias -alias "old-alias" -destalias "new-alias" -keypass keypass -keystore </path/to/keystore> -storepass storepas
-
-
-
Actualice el valor de SPL_CERTIFICATE_ALIAS en el archivo spl.properties con el alias de certificate.pfx almacenado en keystore.jks y reinicie el servicio SPL:
systemctl restart spl
-
Verifique que el certificado esté adjunto al puerto smcore.
openssl s_client -connect localhost:8145 -brief