Skip to main content
SnapCenter software
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar el certificado de CA para el servicio de complementos SAP HANA de SnapCenter en el host Linux

PDF

Debe administrar la contraseña del almacén de claves de los complementos y su certificado, configurar el certificado de CA, configurar los certificados raíz o intermedios para el almacén de confianza de los complementos y configurar el par de claves firmadas por CA para el almacén de confianza de los complementos con el servicio de complementos de SnapCenter para activar el certificado digital instalado.

Los complementos utilizan el archivo 'keystore.jks', que se encuentra en /opt/ NetApp/snapcenter/scc/etc como almacén de confianza y almacén de claves.

Administrar la contraseña para el almacén de claves del complemento y el alias del par de claves firmadas por la CA en uso

Pasos

  1. Puede recuperar la contraseña predeterminada del almacén de claves del complemento desde el archivo de propiedades del agente del complemento.

    Es el valor correspondiente a la clave 'KEYSTORE_PASS'.

  2. Cambiar la contraseña del almacén de claves:

     keytool -storepasswd -keystore keystore.jks
. Cambie la contraseña de todos los alias de las entradas de clave privada en el almacén de claves a la misma contraseña utilizada para el almacén de claves:
    keytool -keypasswd -alias "alias_name_in_cert" -keystore keystore.jks

    Actualice lo mismo para la clave KEYSTORE_PASS en el archivo agent.properties.

  3. Reinicie el servicio después de cambiar la contraseña.

Nota La contraseña para el almacén de claves del complemento y para todas las contraseñas de alias asociadas de la clave privada deben ser las mismas.

Configurar certificados raíz o intermedios para conectar el almacén de confianza

Debe configurar los certificados raíz o intermedios sin la clave privada para conectar el almacén de confianza.

Pasos

  1. Navegue a la carpeta que contiene el almacén de claves del complemento: /opt/ NetApp/snapcenter/scc/etc.

  2. Localice el archivo 'keystore.jks'.

  3. Enumere los certificados agregados en el almacén de claves:

    keytool -list -v -keystore keystore.jks

  4. Agregar un certificado raíz o intermedio:

     keytool -import -trustcacerts -alias myRootCA -file /root/USERTrustRSA_Root.cer -keystore keystore.jks
. Reinicie el servicio después de configurar los certificados raíz o intermedios para complementar el almacén de confianza.
Nota Debe agregar el certificado de CA raíz y luego los certificados de CA intermedios.

Configurar el par de claves firmadas por CA para el complemento de almacén de confianza

Debe configurar el par de claves firmadas por CA en el almacén de confianza del complemento.

Pasos

  1. Navegue hasta la carpeta que contiene el almacén de claves del complemento /opt/ NetApp/snapcenter/scc/etc.

  2. Localice el archivo 'keystore.jks'.

  3. Enumere los certificados agregados en el almacén de claves:

    keytool -list -v -keystore keystore.jks

  4. Agregue el certificado CA que tenga clave privada y pública.

    keytool -importkeystore -srckeystore /root/snapcenter.ssl.test.netapp.com.pfx -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS

  5. Enumere los certificados agregados en el almacén de claves.

    keytool -list -v -keystore keystore.jks

  6. Verifique que el almacén de claves contenga el alias correspondiente al nuevo certificado de CA, que se agregó al almacén de claves.

  7. Cambie la contraseña de clave privada agregada para el certificado de CA a la contraseña del almacén de claves.

    La contraseña del almacén de claves del complemento predeterminado es el valor de la clave KEYSTORE_PASS en el archivo agent.properties.

     keytool -keypasswd -alias "alias_name_in_CA_cert" -keystore keystore.jks
. Si el nombre de alias en el certificado de CA es largo y contiene espacios o caracteres especiales ("*",","), cambie el nombre de alias a un nombre simple:
     keytool -changealias -alias "long_alias_name" -destalias "simple_alias" -keystore keystore.jks
. Configure el nombre de alias del certificado de CA en el archivo agent.properties.

    Actualice este valor con la clave SCC_CERTIFICATE_ALIAS.

  8. Reinicie el servicio después de configurar el par de claves firmadas por CA para complementar el almacén de confianza.

Configurar la lista de revocación de certificados (CRL) para complementos

Acerca de esta tarea

  • Los complementos de SnapCenter buscarán los archivos CRL en un directorio preconfigurado.

  • El directorio predeterminado para los archivos CRL de los complementos de SnapCenter es ' opt/ NetApp/snapcenter/scc/etc/crl'.

Pasos

  1. Puede modificar y actualizar el directorio predeterminado en el archivo agent.properties contra la clave CRL_PATH.

    Puede colocar más de un archivo CRL en este directorio. Los certificados entrantes se verificarán con cada CRL.