Skip to main content
SnapCenter software
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar la comunicación SSL bidireccional en el host Linux

PDF

Debe configurar la comunicación SSL bidireccional para proteger la comunicación mutua entre SnapCenter Server en el host Linux y los complementos.

Antes de empezar

  • Debería haber configurado el certificado CA para el host Linux.

  • Debe haber habilitado la comunicación SSL bidireccional en todos los hosts del complemento y en el servidor SnapCenter .

Pasos

  1. Copie certificate.pem a /etc/pki/ca-trust/source/anchors/.

  2. Agregue los certificados en la lista de confianza de su host Linux.

    • cp root-ca.pem /etc/pki/ca-trust/source/anchors/

    • cp certificate.pem /etc/pki/ca-trust/source/anchors/

    • update-ca-trust extract

  3. Verifique si los certificados se agregaron a la lista de confianza. trust list | grep "<CN of your certificate>"

  4. Actualice ssl_certificate y ssl_certificate_key en el archivo nginx de SnapCenter y reinicie.

    • vim /etc/nginx/conf.d/snapcenter.conf

    • systemctl restart nginx

  5. Actualice el enlace de la GUI del servidor SnapCenter .

  6. Actualice los valores de las siguientes claves en * SnapManager.Web.UI.dll.config* ubicado en _ /<ruta de instalación>/ NetApp/snapcenter/SnapManagerWeb_ y * SMCoreServiceHost.dll.config* ubicado en /<ruta de instalación>/ NetApp/snapcenter/SMCore.

    • <add key="SERVICE_CERTIFICATE_PATH" value="<ruta del certificado.pfx>" />

    • <add key="CONTRASEÑA_DEL_CERTIFICADO_DE_SERVICIO" value="<contraseña>"/>

  7. Reinicie los siguientes servicios.

    • systemctl restart smcore.service

    • systemctl restart snapmanagerweb.service

  8. Verifique que el certificado esté adjunto al puerto web de SnapManager . openssl s_client -connect localhost:8146 -brief

  9. Verifique que el certificado esté adjunto al puerto smcore. openssl s_client -connect localhost:8145 -brief

  10. Administrar la contraseña para el almacén de claves y alias de SPL.

    1. Recupere la contraseña predeterminada del almacén de claves SPL asignada a la clave SPL_KEYSTORE_PASS en el archivo de propiedades SPL.

    2. Cambiar la contraseña del almacén de claves. keytool -storepasswd -keystore keystore.jks

    3. Cambiar la contraseña de todos los alias de las entradas de clave privada. keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks

    4. Actualice la misma contraseña para la clave SPL_KEYSTORE_PASS en spl.properties.

    5. Reiniciar el servicio.

  11. En el host Linux del complemento, agregue los certificados raíz e intermedio en el almacén de claves del complemento SPL.

    • keytool -import -trustcacerts -alias <any preferred alias name> -file <path of root-ca.pem> -keystore <path of keystore.jks mentioned in spl.properties file>

    • keytool -importkeystore -srckeystore <path of certificate.pfx> -srcstoretype pkcs12 -destkeystore <path of keystore.jks mentioned in spl.properties file> -deststoretype JKS

      1. Compruebe las entradas en keystore.jks. keytool -list -v -keystore <path to keystore.jks>

      2. Cambie el nombre de cualquier alias si es necesario. keytool -changealias -alias "old-alias" -destalias "new-alias" -keypass keypass -keystore </path/to/keystore> -storepass storepas

  12. Actualice el valor de SPL_CERTIFICATE_ALIAS en el archivo spl.properties con el alias de certificate.pfx almacenado en keystore.jks y reinicie el servicio SPL: systemctl restart spl

  13. Verifique que el certificado esté adjunto al puerto smcore. openssl s_client -connect localhost:8145 -brief