Skip to main content
SnapCenter software
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar la comunicación SSL bidireccional en el host de Windows

PDF

Debe configurar la comunicación SSL bidireccional para proteger la comunicación mutua entre SnapCenter Server en el host de Windows y los complementos.

Antes de empezar

  • Debería haber generado el archivo CSR del certificado CA con la longitud de clave mínima admitida de 3072.

  • El certificado CA debe admitir la autenticación del servidor y la autenticación del cliente.

  • Debe tener un certificado CA con clave privada y detalles de huella digital.

  • Deberías haber habilitado la configuración SSL unidireccional.

    Para más detalles, consulte "Sección de configuración del certificado CA."

  • Debe haber habilitado la comunicación SSL bidireccional en todos los hosts del complemento y en el servidor SnapCenter .

    No se admite un entorno con algunos hosts o servidores no habilitados para la comunicación SSL bidireccional.

Pasos

  1. Para vincular el puerto, realice los siguientes pasos en el host del servidor SnapCenter para el puerto del servidor web SnapCenter IIS 8146 (predeterminado) y nuevamente para el puerto SMCore 8145 (predeterminado) mediante comandos de PowerShell.

    1. Elimine el enlace del puerto del certificado autofirmado de SnapCenter existente mediante el siguiente comando de PowerShell.

      > netsh http delete sslcert ipport=0.0.0.0:<SMCore port/IIS port>

      Por ejemplo,

      > netsh http delete sslcert ipport=0.0.0.0:8145

      > netsh http delete sslcert ipport=0.0.0.0:8146

    2. Vincule el certificado CA recién adquirido con el servidor SnapCenter y el puerto SMCore.

      > $cert = “<CA_certificate thumbprint>”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0: <SMCore Port/IIS port> certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > netsh http show sslcert ipport=0.0.0.0:<SMCore Port/IIS port>

      Por ejemplo,

      > $cert = “abc123abc123abc123abc123”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0:8146 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0:8145 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > netsh http show sslcert ipport=0.0.0.0:8146

    > netsh http show sslcert ipport=0.0.0.0:8145

  2. Para acceder al permiso del certificado de CA, agregue el usuario del servidor web IIS predeterminado de SnapCenter "IIS AppPool\ SnapCenter" en la lista de permisos de certificado realizando los siguientes pasos para acceder al certificado de CA recién adquirido.

    1. Vaya a la consola de administración de Microsoft (MMC) y haga clic en Archivo > Agregar o quitar complemento.

    2. En la ventana Agregar o quitar complementos, seleccione Certificados y luego haga clic en Agregar.

    3. En la ventana del complemento Certificados, seleccione la opción Cuenta de equipo y haga clic en Finalizar.

    4. Haga clic en Raíz de consola > Certificados – Equipo local > Personal > Certificados.

    5. Seleccione el certificado de SnapCenter .

    6. Para iniciar el asistente para agregar usuarios y permisos, haga clic con el botón derecho en el certificado de CA y seleccione Todas las tareas > Administrar claves privadas.

    7. Haga clic en Agregar, en el asistente Seleccionar usuarios y grupos cambie la ubicación al nombre de la computadora local (la superior en la jerarquía)

    8. Agregue el usuario IIS AppPool\ SnapCenter y otorgue permisos de control total.

  3. Para obtener el permiso IIS del certificado CA, agregue la nueva entrada de claves de registro DWORD en SnapCenter Server desde la siguiente ruta:

    En el editor de registro de Windows, navegue hasta la ruta mencionada a continuación,

    HKey_Local_Machine\SYSTEM\CurrentControlSet\Control\SecurityProv ders\SCHANNEL

  4. Cree una nueva entrada de clave de registro DWORD en el contexto de la configuración del registro SCHANNEL.

    SendTrustedIssuerList = 0

    ClientAuthTrustMode = 2

Configurar el complemento de Windows de SnapCenter para la comunicación SSL bidireccional

Debe configurar el complemento de Windows de SnapCenter para la comunicación SSL bidireccional mediante comandos de PowerShell.

Antes de empezar

Asegúrese de que la huella digital del certificado de CA esté disponible.

Pasos

  1. Para vincular el puerto, realice las siguientes acciones en el host del complemento de Windows para el puerto SMCore 8145 (predeterminado).

    1. Elimine el enlace del puerto del certificado autofirmado de SnapCenter existente mediante el siguiente comando de PowerShell.

      > netsh http delete sslcert ipport=0.0.0.0:<SMCore port>

      Por ejemplo,

      > netsh http delete sslcert ipport=0.0.0.0:8145

    2. Vincula el certificado CA recién adquirido con el puerto SMCore.

      > $cert = “<CA_certificate thumbprint>”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0: <SMCore Port> certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > netsh http show sslcert ipport=0.0.0.0:<SMCore Port>

      Por ejemplo,

      > $cert = “abc123abc123abc123abc123”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0:8145 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

    > netsh http show sslcert ipport=0.0.0.0:8145