Skip to main content
NetApp Backup and Recovery
Tous les fournisseurs de cloud
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Tous les fournisseurs de cloud
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configurer des certificats de sécurité pour StorageGRID et ONTAP dans NetApp Backup and Recovery

Contributeurs netapp-mwallis
PDF

Créez un certificat de sécurité pour activer la communication entre NetApp Backup and Recovery et StorageGRID ou ONTAP.

Créer un certificat de sécurité pour StorageGRID

Si la communication entre les conteneurs NetApp Backup and Recovery et StorageGRID doit vérifier le certificat StorageGRID , procédez comme suit.

Le certificat généré doit avoir un CN et un nom alternatif du sujet comme nom fourni dans NetApp Backup and Recovery lorsque vous avez activé la sauvegarde.

Étapes

  1. Suivez les étapes de la documentation StorageGRID pour créer le certificat StorageGRID .

    "Informations StorageGRID sur la configuration des certificats"

  2. Mettez à jour StorageGRID avec le certificat si vous ne l’avez pas déjà fait.

  3. Connectez-vous à l’agent de la console en tant qu’utilisateur root. Courir:

    sudo su

  4. Obtenez le volume Docker NetApp Backup and Recovery (Cloud Backup Service). Courir:

    docker volume ls | grep cbs

    Exemple de sortie :

    local service-manager-2_cloudmanager_cbs_volume"
    Remarque Le nom du volume diffère selon les modes de déploiement Standard, Privé et Restreint. Cet exemple utilise le mode Standard. Se référer à "Modes de déploiement de la NetApp Console" .

  5. Recherchez le point de montage du volume NetApp Backup and Recovery . Courir:

    docker volume inspect service-manager-2_cloudmanager_cbs_volume | grep Mountpoint

    Exemple de sortie :

    "Mountpoint": "/var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data"
    Remarque Le point de montage diffère selon les modes de déploiement Standard, Privé et Restreint. Cet exemple montre un déploiement cloud standard. Se référer à "Modes de déploiement de la NetApp Console" .

  6. Accédez au répertoire MountPoint. Courir:

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  7. Si le certificat de StorageGRID est signé par l'autorité de certification racine et une autorité de certification intermédiaire, ajoutez le pem fichiers des deux dans un seul fichier nommé sgws.crt à l'emplacement actuel. N'ajoutez pas le certificat feuille à ce fichier.

Étapes pour le conteneur cloudmanager_cbs

Vous devrez activer la vérification du certificat du serveur StorageGRID dans NetApp Backup and Recovery (Cloud Backup Service).

  1. Modifiez les répertoires vers le volume Docker obtenu lors des étapes précédentes.

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  2. Changez de répertoire vers le répertoire de configuration.

    cd cbs_config

  3. Créez et enregistrez un fichier de configuration comme indiqué ci-dessous avec l’un des noms suivants en fonction de votre environnement de déploiement :

    • `production-customer.json`Utilisé pour les déploiements en mode standard et en mode restreint.

    • `darksite-customer.json`Utilisé pour les déploiements en mode privé.

      Se référer à "Modes de déploiement de la NetApp Console" .

      Fichier de configuration

    {
  "protocols": {
    "sgws": {
      "certificates": {
        "reject-unauthorized": true,
        "ca-bundle": "/config/sgws.crt"
      }
    }
  }
}

  4. Sortez du conteneur. Courir:

    exit

  5. Redémarrage cloudmanager_cbs . Courir:

    docker restart cloudmanager_cbs

Étapes pour le conteneur cloudmanager_cbs_catalog

Ensuite, vous devrez activer la vérification du certificat du serveur StorageGRID pour le service de catalogage.

  1. Changer les répertoires du volume Docker :

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  2. Configurer le catalogue. Courir:

    cd cbs_catalog_config

  3. Créez un fichier de configuration comme indiqué ci-dessous avec l’un des noms suivants en fonction de votre environnement de déploiement :

    • `production-customer.json`Utilisé pour les déploiements en mode standard et en mode restreint.

    • `darksite-customer.json`Utilisé pour les déploiements en mode privé.

      Se référer à "Modes de déploiement de la NetApp Console" .

      Fichier de configuration du catalogue

    {
  "protocols": {
    "sgws": {
      "certificates": {
        "reject-unauthorized": true,
        "ca-bundle": "/config/sgws.crt"
      }
    }
  }
}

  4. Redémarrer le catalogue. Courir:

    docker restart cloudmanager_cbs_catalog

Mettre à jour le certificat de l'agent de console avec le certificat StorageGRID en fonction du système d'exploitation de l'agent

Ubuntu

  1. Copiez le certificat SGWS sur /usr/local/share/ca-certificates . Voici un exemple :

    cp /config/sgws.crt /usr/local/share/ca-certificates/

    sgws.crt est le certificat CA racine.

  2. Mettez à jour les certificats d’hôte avec le certificat StorageGRID . Courir

    sudo update-ca-certificates

Red Hat Enterprise Linux

  1. Copiez le certificat SGWS sur /etc/pki/ca-trust/source/anchors/ .

    cp /config/sgws.crt /etc/pki/ca-trust/source/anchors/

    sgws.crt est le certificat CA racine.

  2. Mettez à jour les certificats d’hôte avec le certificat StorageGRID .

    update-ca-trust extract

  3. Mettre à jour le ca-bundle.crt

    cd /etc/pki/tls/certs/
openssl x509 -in ca-bundle.crt -text -noout

  4. Pour vérifier si les certificats sont présents, exécutez la commande suivante :

    openssl crl2pkcs7 -nocrl -certfile /etc/pki/tls/certs/ca-bundle.crt | openssl pkcs7 -print_certs | grep subject | head

Créer un certificat de sécurité pour ONTAP

Si la communication entre les conteneurs NetApp Backup and Recovery et ONTAP doit valider le certificat ONTAP , procédez comme suit.

NetApp Backup and Recovery utilise l'IP de gestion de cluster pour se connecter à ONTAP. Saisissez l’adresse IP du cluster dans les noms alternatifs du sujet du certificat. Spécifiez cette étape lorsque vous générez la CSR à l’aide de l’interface utilisateur du gestionnaire système.

Utilisez la documentation du gestionnaire de système pour créer un nouveau certificat CA pour ONTAP.

Étapes

  1. Connectez-vous à l'agent de la console en tant que root. Courir:

    sudo su

  2. Obtenez le volume Docker de NetApp Backup and Recovery . Courir:

    docker volume ls | grep cbs

    Exemple de sortie :

    local service-manager-2_cloudmanager_cbs_volume
    Remarque Le nom du volume diffère selon les modes de déploiement Standard, Privé et Restreint. Cet exemple montre un déploiement cloud standard. Se référer à "Modes de déploiement de la NetApp Console" .

  3. Obtenez le support pour le volume. Courir:

    docker volume inspect service-manager-2_cloudmanager_cbs_volume | grep Mountpoint

    Exemple de sortie :

    "Mountpoint": "/var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data
    Remarque Le point de montage diffère selon les modes de déploiement Standard, Privé et Restreint. Cet exemple montre un déploiement cloud standard. Se référer à "Modes de déploiement de la NetApp Console" .

  4. Accédez au répertoire du point de montage. Courir:

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  5. Effectuez l’une des étapes suivantes :

    • Si le certificat ONTAP est signé par l'autorité de certification racine et une autorité de certification intermédiaire, ajoutez le pem fichiers des deux dans un seul fichier nommé ontap.crt à l'emplacement actuel.

    • Si le certificat ONTAP est signé par une seule autorité de certification, renommez-le pem déposer comme ontap.crt et copiez-le à l'emplacement actuel. N'ajoutez pas le certificat feuille à ce fichier.

Étapes pour le conteneur cloudmanager_cbs

Ensuite, activez la vérification du certificat du serveur ONTAP dans NetApp Backup and Recovery (Cloud Backup Service).

  1. Modifiez les répertoires vers le volume Docker obtenu lors des étapes précédentes.

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  2. Accédez au répertoire de configuration. Courir:

    cd cbs_config

  3. Créez un fichier de configuration comme indiqué ci-dessous avec l’un des noms suivants en fonction de votre environnement de déploiement :

    • `production-customer.json`Utilisé pour les déploiements en mode standard et en mode restreint.

    • `darksite-customer.json`Utilisé pour les déploiements en mode privé.

      Se référer à "Modes de déploiement de la NetApp Console" .

      Fichier de configuration

    {
  "ontap": {
    "certificates": {
      "reject-unauthorized": true,
      "ca-bundle": "/config/ontap.crt"
    }
  }
}

  4. Sortez du conteneur. Courir:

    exit

  5. Redémarrez NetApp Backup and Recovery. Courir:

    docker restart cloudmanager_cbs

Étapes pour le conteneur cloudmanager_cbs_catalog

Activez la vérification du certificat du serveur ONTAP pour le service de catalogage.

  1. Changez les répertoires vers le volume Docker. Courir:

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  2. Courir:

    cd cbs_catalog_config

  3. Créez un fichier de configuration comme indiqué ci-dessous avec l’un des noms suivants en fonction de votre environnement de déploiement :

    • `production-customer.json`Utilisé pour les déploiements en mode standard et en mode restreint.

    • `darksite-customer.json`Utilisé pour les déploiements en mode privé.

      Se référer à "Modes de déploiement de la NetApp Console" .

      Fichier de configuration

    {
  "ontap": {
    "certificates": {
      "reject-unauthorized": true,
      "ca-bundle": "/config/ontap.crt"
    }
  }
}

  4. Redémarrez NetApp Backup and Recovery. Courir:

    docker restart cloudmanager_cbs_catalog

Créer un certificat pour ONTAP et StorageGRID

Si vous devez activer le certificat pour ONTAP et StorageGRID, le fichier de configuration ressemble à ceci :

Fichier de configuration pour ONTAP et StorageGRID

{
  "protocols": {
    "sgws": {
      "certificates": {
        "reject-unauthorized": true,
        "ca-bundle": "/config/sgws.crt"
      }
    }
  },
  "ontap": {
    "certificates": {
      "reject-unauthorized": true,
      "ca-bundle": "/config/ontap.crt"
    }
  }
}