Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Gérez le service ONTAP médiateur

Contributeurs
PDF

Gérer le service ONTAP Mediator, y compris la modification des informations d'identification de l'utilisateur, l'arrêt et la réactivation du service, la vérification de son intégrité et l'installation ou la désinstallation de SCST pour la maintenance de l'hôte. Vous pouvez également gérer des certificats, tels que la régénération de certificats auto-signés, leur remplacement par des certificats tiers approuvés et le dépannage des problèmes liés aux certificats.

Modifiez le nom d'utilisateur

Vous pouvez modifier le nom d'utilisateur en procédant comme suit.

Description de la tâche

Effectuez cette tâche sur l'hôte Linux sur lequel le service ONTAP Mediator est installé.

Si vous ne pouvez pas atteindre cette commande, il vous faudra peut-être exécuter la commande en utilisant le chemin d'accès complet, comme illustré dans l'exemple suivant :

/usr/local/bin/mediator_username

Étapes

Modifiez le nom d'utilisateur en choisissant l'une des options suivantes :

  • Option (a) : exécutez la commande mediator_change_user et répondez aux invites comme indiqué dans l'exemple suivant :

     [root@mediator-host ~]# mediator_change_user
 Modify the Mediator API username by entering the following values:
     Mediator API User Name: mediatoradmin
                   Password:
 New Mediator API User Name: mediator
 The account username has been modified successfully.
 [root@mediator-host ~]#

  • Option (b) : exécutez la commande suivante :

    MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD=mediator2 MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user

     [root@mediator-host ~]# MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD='mediator2' MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user
 The account username has been modified successfully.
 [root@mediator-host ~]#

Changer le mot de passe

Vous pouvez modifier le mot de passe à l'aide de la procédure suivante.

Description de la tâche

Effectuez cette tâche sur l'hôte Linux sur lequel le service ONTAP Mediator est installé.

Si vous ne pouvez pas atteindre cette commande, il vous faudra peut-être exécuter la commande en utilisant le chemin d'accès complet, comme illustré dans l'exemple suivant :

/usr/local/bin/mediator_change_password

Étapes

Modifiez le mot de passe en choisissant l'une des options suivantes :

  • Option (a) : exécutez le mediator_change_password commande et répond aux invites, comme illustré dans l'exemple suivant :

     [root@mediator-host ~]# mediator_change_password
 Change the Mediator API password by entering the following values:
    Mediator API User Name: mediatoradmin
              Old Password:
              New Password:
          Confirm Password:
 The password has been updated successfully.
 [root@mediator-host ~]#

  • Option (b) : exécutez la commande suivante :

    MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password

    L'exemple montre que le mot de passe passe passe de "mediator1" à "mediator2".

     [root@mediator-host ~]# MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password
 The password has been updated successfully.
 [root@mediator-host ~]#

Arrêtez le service ONTAP Mediator

Pour arrêter le service du médiateur ONTAP, effectuez les opérations suivantes :

Étapes

  1. Arrêter le médiateur ONTAP :

    systemctl stop ontap_mediator

  2. Arrêt SCST :

    systemctl stop mediator-scst

  3. Désactivez le médiateur ONTAP et le SCST :

    systemctl diable ontap_mediator mediator-scst

Réactiver le service ONTAP Mediator

Pour réactiver le service ONTAP Mediator, effectuez les opérations suivantes :

Étapes

  1. Activer le médiateur ONTAP et le SCST :

    systemctl enable ontap_mediator mediator-scst

  2. Démarrer SCST :

    systemctl start mediator-scst

  3. Démarrer le médiateur ONTAP :

    systemctl start ontap_mediator

Vérifiez que le médiateur ONTAP fonctionne correctement

Une fois le médiateur ONTAP installé, vous devez vérifier que les services du médiateur ONTAP sont en cours d'exécution.

Étapes

  1. Afficher l'état des services du médiateur ONTAP :

    1. systemctl status ontap_mediator

      [root@scspr1915530002 ~]# systemctl status ontap_mediator

 ontap_mediator.service - ONTAP Mediator
Loaded: loaded (/etc/systemd/system/ontap_mediator.service; enabled; vendor preset: disabled)
Active: active (running) since Mon 2022-04-18 10:41:49 EDT; 1 weeks 0 days ago
Process: 286710 ExecStop=/bin/kill -s INT $MAINPID (code=exited, status=0/SUCCESS)
Main PID: 286712 (uwsgi)
Status: "uWSGI is ready"
Tasks: 3 (limit: 49473)
Memory: 139.2M
CGroup: /system.slice/ontap_mediator.service
      ├─286712 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
      ├─286716 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
      └─286717 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini

[root@scspr1915530002 ~]#

    2. systemctl status mediator-scst

      [root@scspr1915530002 ~]# systemctl status mediator-scst
   Loaded: loaded (/etc/systemd/system/mediator-scst.service; enabled; vendor preset: disabled)
   Active: active (running) since Mon 2022-04-18 10:41:47 EDT; 1 weeks 0 days ago
  Process: 286595 ExecStart=/etc/init.d/scst start (code=exited, status=0/SUCCESS)
 Main PID: 286662 (iscsi-scstd)
    Tasks: 1 (limit: 49473)
   Memory: 1.2M
   CGroup: /system.slice/mediator-scst.service
           └─286662 /usr/local/sbin/iscsi-scstd

[root@scspr1915530002 ~]#

  2. Vérifiez les ports utilisés par le service ONTAP Mediator :

    netstat

    [root@scspr1905507001 ~]# netstat -anlt | grep -E '3260|31784'

         tcp   0   0 0.0.0.0:31784   0.0.0.0:*      LISTEN

         tcp   0   0 0.0.0.0:3260    0.0.0.0:*      LISTEN

         tcp6  0   0 :::3260         :::*           LISTEN

Désinstallez manuellement SCST pour effectuer la maintenance de l'hôte

Pour désinstaller SCST, vous avez besoin du paquet tar SCST utilisé pour la version installée de ONTAP Mediator.

Étapes

  1. Téléchargez l'ensemble SCST approprié (comme indiqué dans le tableau suivant) et décompressez-le.

    Pour cette version …​

    Utiliser ce paquet tar…​

    Médiateur ONTAP 1.9

    scst-3.8.0.tar.bz2

    Médiateur ONTAP 1.8

    scst-3.8.0.tar.bz2

    Médiateur ONTAP 1.7

    scst-3.7.0.tar.bz2

    Médiateur ONTAP 1.6

    scst-3.7.0.tar.bz2

    Médiateur ONTAP 1.5

    scst-3.6.0.tar.bz2

    Médiateur ONTAP 1.4

    scst-3.6.0.tar.bz2

    Médiateur ONTAP 1.3

    scst-3.5.0.tar.bz2

    Médiateur ONTAP 1.1

    scst-3.4.0.tar.bz2

    Médiateur ONTAP 1.0

    scst-3.3.0.tar.bz2

  2. Exécutez les commandes suivantes dans le répertoire « scst » :

    1. systemctl stop mediator-scst

    2. make scstadm_uninstall

    3. make iscsi_uninstall

    4. make usr_uninstall

    5. make scst_uninstall

    6. depmod

Installez manuellement SCST pour effectuer la maintenance de l'hôte

Pour installer manuellement le SCST, vous devez disposer du paquet tar SCST utilisé pour la version installée du Mediator ONTAP (voir le tableau ci-dessus).

  1. Exécutez les commandes suivantes dans le répertoire « scst » :

    1. make 2release

    2. make scst_install

    3. make usr_install

    4. make iscsi_install

    5. make scstadm_install

    6. depmod

    7. cp scst/src/certs/scst_module_key.der /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/

    8. patch /etc/init.d/scst < /opt/netapp/lib/ontap_mediator/systemd/scst.patch

  2. Si vous le souhaitez, si le démarrage sécurisé est activé, effectuez les opérations suivantes avant de redémarrer :

    1. Déterminez chaque nom de fichier pour les modules "scst_vdisk", "scst" et "iscsi_scst" :

      [root@localhost ~]# modinfo -n scst_vdisk
[root@localhost ~]# modinfo -n scst
[root@localhost ~]# modinfo -n iscsi_scst

    2. Déterminez la version du noyau :

      [root@localhost ~]# uname -r

    3. Signez chaque fichier avec le noyau :

      [root@localhost ~]# /usr/src/kernels/<KERNEL-RELEASE>/scripts/sign-file \sha256 \
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.priv \
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der \
_module-filename_

    4. Installez la clé correcte avec le micrologiciel UEFI.

      Les instructions d'installation de la clé UEFI se trouvent à l'adresse suivante :

      /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/README.module-signing

      La clé UEFI générée se trouve à l'emplacement suivant :

    /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der

  3. Redémarrer :

    reboot

Désinstallez le service ONTAP Mediator

Si nécessaire, vous pouvez supprimer le service ONTAP Mediator.

Avant de commencer

Le Mediator ONTAP doit être déconnecté de ONTAP avant de supprimer le service ONTAP Mediator.

Description de la tâche

Vous devez effectuer cette tâche sur l'hôte Linux sur lequel le service ONTAP Mediator est installé.

Si vous ne pouvez pas atteindre cette commande, il vous faudra peut-être exécuter la commande en utilisant le chemin d'accès complet, comme illustré dans l'exemple suivant :

/usr/local/bin/uninstall_ontap_mediator

Étape

  1. Désinstallez le service ONTAP Mediator :

    uninstall_ontap_mediator

     [root@mediator-host ~]# uninstall_ontap_mediator

 ONTAP Mediator: Self Extracting Uninstaller

 + Removing ONTAP Mediator. (Log: /tmp/ontap_mediator.GmRGdA/uninstall_ontap_mediator/remove.log)
 + Remove successful.
 [root@mediator-host ~]#

Régénérez un certificat auto-signé temporaire

À partir de ONTAP Mediator 1.7, vous pouvez régénérer un certificat auto-signé temporaire en suivant la procédure suivante.

Remarque Cette procédure n'est prise en charge que sur les systèmes exécutant ONTAP Mediator 1.7 ou version ultérieure.
Description de la tâche

  • Vous effectuez cette tâche sur l'hôte Linux sur lequel le service ONTAP Mediator est installé.

  • Vous pouvez effectuer cette tâche uniquement si les certificats auto-signés générés sont devenus obsolètes en raison de modifications apportées au nom d'hôte ou à l'adresse IP de l'hôte après l'installation du médiateur ONTAP.

  • Une fois que le certificat auto-signé temporaire a été remplacé par un certificat tiers approuvé, vous devez ne pas_ utiliser cette tâche pour régénérer un certificat. L'absence d'un certificat auto-signé entraînera l'échec de cette procédure.

Étape

Pour régénérer un nouveau certificat auto-signé temporaire pour l'hôte actuel, effectuez l'étape suivante :

  1. Redémarrez le service ONTAP Mediator :

    ./make_self_signed_certs.sh overwrite

    [root@xyz000123456 ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
[root@xyz000123456 server_config]# ./make_self_signed_certs.sh overwrite

Adding Subject Alternative Names to the self-signed server certificate
#
# OpenSSL example configuration file.
Generating self-signed certificates
Generating RSA private key, 4096 bit long modulus (2 primes)
..................................................................................................................................................................++++
........................................................++++
e is 65537 (0x010001)
Generating a RSA private key
................................................++++
.............................................................................................................................................++++
writing new private key to 'ontap_mediator_server.key'
-----
Signature ok
subject=C = US, ST = California, L = San Jose, O = "NetApp, Inc.", OU = ONTAP Core Software, CN = ONTAP Mediator, emailAddress = support@netapp.com
Getting CA Private Key

Remplacez les certificats auto-signés par des certificats tiers approuvés

S'il est pris en charge, vous pouvez remplacer les certificats auto-signés par des certificats tiers approuvés.

Avertissement

  • Les certificats tiers ne sont pris en charge que depuis ONTAP 9.16.1 et dans certaines versions antérieures de correctifs ONTAP. Voir "Bugs NetApp ID de bug en ligne CONTAP-243278".

  • Les certificats tiers ne sont pris en charge que sur les systèmes exécutant ONTAP Mediator 1.7 ou version ultérieure.
Description de la tâche

  • Vous effectuez cette tâche sur l'hôte Linux sur lequel le service ONTAP Mediator est installé.

  • Vous pouvez effectuer cette tâche si les certificats auto-signés générés doivent être remplacés par des certificats obtenus auprès d'une autorité de certification subordonnée de confiance. Pour ce faire, vous devez avoir accès à une infrastructure à clé publique (PKI) fiable.

  • L'image suivante montre les objectifs de chaque certificat de Mediator ONTAP.

    Fins du certificat du médiateur ONTAP

  • L'image suivante montre la configuration du serveur Web et de la configuration du serveur ONTAP Mediator.

    Configuration du serveur Web et configuration du serveur ONTAP Mediator

Étape 1 : obtenir un certificat d'un tiers émettant un certificat d'autorité de certification

Vous pouvez obtenir un certificat auprès d'une autorité PKI en suivant la procédure suivante.

L'exemple suivant illustre le remplacement des acteurs de certificat auto-signés, à savoir ca.key, ca.csr, ca.srl, et ca.crt situé à /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ avec les acteurs de certificat tiers.

Remarque L'exemple illustre les critères nécessaires pour les certificats requis pour le service ONTAP Mediator. Vous pouvez obtenir les certificats auprès d'une autorité PKI d'une manière qui peut être différente de cette procédure. Ajustez la procédure en fonction des besoins de votre entreprise.
Étapes

  1. Créez une clé privée ca.key et un fichier de configuration openssl_ca.cnf Qui sera consommé par l'autorité PKI pour générer un certificat.

    1. Générez la clé privée ca.key:

      Exemple

    openssl genrsa -aes256 -out ca.key 4096

    1. Le fichier de configuration openssl_ca.cnf (situé à /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf) définit les propriétés que le certificat généré doit avoir.

  2. Utilisez la clé privée et le fichier de configuration pour créer une demande de signature de certificat ca.csr:

    Exemple:

    openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf

    [root@scs000216655 server_config]# openssl req -key ca.key -new -config openssl_ca.cnf -out ca.csr
Enter pass phrase for ca.key:
[root@scs000216655 server_config]# cat ca.csr
-----BEGIN CERTIFICATE REQUEST-----
MIIE6TCCAtECAQAwgaMxCzAJBgNVBAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlh
...
erARKhY9z0e8BHPl3g==
-----END CERTIFICATE REQUEST-----

  3. Envoyez la demande de signature de certificat ca.csr À une autorité PKI pour leur signature.

    L'autorité PKI vérifie la demande et signe le , générant le .csr`certificat `ca.crt. De plus, vous devez obtenir le root_ca.crt certificat qui a signé le ca.crt certificat auprès de l'autorité PKI.

    Remarque Pour les clusters SnapMirror Business Continuity (SM-BC), vous devez ajouter les ca.crt certificats et root_ca.crt à un cluster ONTAP. Voir "Configurer le médiateur ONTAP et les clusters pour la synchronisation active SnapMirror".

Étape 2 : générez un certificat de serveur en signant avec une certification d'autorité de certification tierce

Un certificat de serveur doit être signé par la clé privée ca.key et le certificat tiers ca.crt. De plus, le fichier de configuration /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf Contient certains attributs qui spécifient les propriétés requises pour les certificats de serveur émis par OpenSSL.

Les commandes suivantes peuvent générer un certificat de serveur.

Étapes

  1. Pour générer une requête de signature de certificat de serveur (CSR), exécutez la commande suivante à partir du /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config dossier :

    openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr

  2. pour générer un certificat de serveur à partir de la RSC, exécutez la commande suivante à partir du /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config dossier :

    Remarque Les ca.crt fichiers et ca.key ont été obtenus d'une autorité de l'ICP. Si vous utilisez un nom de certificat différent, par exemple, intermediate.crt et intermediate.key, remplacez ca.crt et ca.key par intermediate.crt et intermediate.key respectivement.

    openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA ca.crt -CAkey ca.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt

    • L' -CAcreateserial option est utilisée pour générer les ca.srl fichiers ou intermediate.srl , en fonction du nom de certificat que vous utilisez.

Étape 3 : remplacez le nouveau certificat d'autorité de certification tiers et le certificat de serveur dans la configuration du médiateur ONTAP

La configuration du certificat est fournie au service Mediator ONTAP dans le fichier de configuration situé à l'adresse /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml. Le fichier comprend les attributs suivants :

cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'

  • cert_path et key_path sont des variables de certificat de serveur.

  • ca_cert_path, ca_key_path, et ca_serial_path Sont des variables de certificat CA.

Étapes

  1. Remplacez tous les ca.* fichiers par les certificats tiers.

  2. Créez une chaîne de certificats à partir des ca.crt certificats et ontap_mediator_server.crt :

    cat ontap_mediator_server.crt ca.crt > ontap_mediator_server_chain.crt

  3. Mettre à jour le /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini fichier.

    Mettre à jour les valeurs de mediator_cert, , mediator_key`et `ca_certificate:

    set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

    set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

    set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_ca.crt

    • La mediator_cert valeur est le chemin du ontap_mediator_server_chain.crt fichier.

    • Le mediator_key value est le chemin d'accès de la clé dans le ontap_mediator_server.crt fichier, qui est ontap_mediator_server.key.

    • La ca_certificate valeur est le chemin du root_ca.crt fichier.

  4. Vérifiez que les attributs suivants des certificats nouvellement générés sont définis correctement :

    • Propriétaire du groupe Linux : netapp:netapp

    • Autorisations Linux : 600

  5. Redémarrez le médiateur ONTAP :

    systemctl restart ontap_mediator

Étape 4 : si vous le souhaitez, utilisez un chemin ou un nom différent pour vos certificats tiers

Vous pouvez utiliser des certificats tiers portant un nom différent de ca.* ou stockez les certificats tiers dans un emplacement différent.

Étapes

  1. Configurez le /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml fichier pour remplacer les valeurs de variable par défaut dans le ontap_mediator.config.yaml fichier.

    Si vous avez obtenu intermediate.crt d'une autorité PKI et que vous stockez sa clé privée intermediate.key à l'emplacement /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config, le ontap_mediator.user_config.yaml fichier devrait ressembler à l'exemple suivant :

    Remarque Si vous avez utilisé intermediate.crt pour signer le ontap_mediator_server.crt certificat, le intermediate.srl fichier est généré. Voir Étape 2 : générez un certificat de serveur en signant avec une certification d'autorité de certification tierce pour plus d'informations. 
    [root@scs000216655 server_config]# cat  ontap_mediator.user_config.yaml

# This config file can be used to override the default settings in ontap_mediator.config.yaml
# To override a setting, copy the property key from ontap_mediator.config.yaml to this file and
# set the property to the desired value. e.g.,
#
# The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml
#
# To override this value with 6 mailboxes per target, add the following key/value pair
# below this comment:
#
# 'default_mailboxes_per_target': 6
#
cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'

    1. Si vous utilisez une structure de certificat où le root_ca.crt certificat fournit un certificat qui signe le certificat intermediate.crt ontap_mediator_server.crt , créez une chaîne de certificats à partir du intermediate.crt et des ontap_mediator_server.crt certificats :

      Remarque Vous devez avoir obtenu les intermediate.crt certificats et ontap_mediator_server.crt d'une autorité PKI plus tôt dans la procédure.

      cat ontap_mediator_server.crt intermediate.crt > ontap_mediator_server_chain.crt

    2. Mettre à jour le /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini fichier.

      Mettre à jour les valeurs de mediator_cert, , mediator_key`et `ca_certificate:

      set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

      set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

      set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_ca.crt

      • La mediator_cert valeur est le chemin du ontap_mediator_server_chain.crt fichier.

      • La mediator_key valeur est le chemin d'accès de la clé dans le ontap_mediator_server.crt fichier, qui est ontap_mediator_server.key.

      • La ca_certificate valeur est le chemin du root_ca.crt fichier.

        Remarque Pour les clusters SnapMirror Business Continuity (SM-BC), vous devez ajouter les intermediate.crt certificats et root_ca.crt à un cluster ONTAP. Voir "Configurer le médiateur ONTAP et les clusters pour la synchronisation active SnapMirror".

    3. Vérifiez que les attributs suivants des certificats nouvellement générés sont définis correctement :

      • Propriétaire du groupe Linux : netapp:netapp

      • Autorisations Linux : 600

  2. Redémarrez le médiateur ONTAP lorsque les certificats sont mis à jour dans le fichier de configuration :

    systemctl restart ontap_mediator

Résoudre les problèmes liés aux certificats

Vous pouvez vérifier certaines propriétés des certificats.

Vérifiez l'expiration du certificat

Utiliser la commande suivante pour identifier la plage de validité du certificat :

[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...
        Validity
            Not Before: Feb 22 19:57:25 2024 GMT
            Not After : Feb 15 19:57:25 2029 GMT

Vérifier les extensions X509v3 dans la certification CA

Utilisez la commande suivante pour vérifier les extensions X509v3 dans la certification CA.

Les propriétés définies dans v3_ca dans openssl_ca.cnf s'affichent sous la forme X509v3 extensions dans ca.crt.

[root@scs000216982 server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@scs000216982 server_config]# cat openssl_ca.cnf
...
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, cRLSign, digitalSignature, keyCertSign

[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
            X509v3 Authority Key Identifier:
                keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27

            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign

Vérifiez les extensions X509v3 dans le certificat de serveur et les noms Alt d'objet

Le v3_req propriétés définies dans openssl_server.cnf le fichier de configuration s'affiche sous la forme X509v3 extensions dans le certificat.

Dans l'exemple suivant, vous pouvez obtenir les variables dans alt_names en exécutant les commandes hostname -A et hostname -I Sur la machine virtuelle Linux sur laquelle le Mediator ONTAP est installé.

Vérifiez auprès de votre administrateur réseau les valeurs correctes des variables.

[root@scs000216982 server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@scs000216982 server_config]# cat openssl_server.cnf
...
[ v3_req ]
basicConstraints       = CA:false
extendedKeyUsage       = serverAuth
keyUsage               = keyEncipherment, dataEncipherment
subjectAltName         = @alt_names

[ alt_names ]
DNS.1 = abc.company.com
DNS.2 = abc-v6.company.com
IP.1 = 1.2.3.4
IP.2 = abcd:abcd:abcd:abcd:abcd:abcd

[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...

        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Key Usage:
                Key Encipherment, Data Encipherment
            X509v3 Subject Alternative Name:
                DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd

Vérifiez qu'une clé privée correspond à un certificat

Vous pouvez vérifier si une clé privée particulière correspond à un certificat.

Utilisez les commandes OpenSSL suivantes sur la clé et le certificat respectivement :

[root@scs000216982 server_config]# openssl rsa -noout -modulus -in intermediate.key | openssl md5
Enter pass phrase for intermediate.key:
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
[root@scs000216982 server_config]# openssl x509 -noout -modulus -in intermediate.crt | openssl md5
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc

Si le -modulus attribut pour les deux correspondances, il indique que la clé privée et la paire de certificats sont compatibles et peuvent fonctionner l'une avec l'autre.

Vérifiez qu'un certificat de serveur est créé à partir d'un certificat d'autorité de certification particulier

Vous pouvez utiliser la commande suivante pour vérifier que le certificat du serveur est créé à partir d'un certificat d'autorité de certification spécifique.

[root@scs000216982 server_config]# openssl verify -CAfile ca.crt ontap_mediator_server.crt
ontap_mediator_server.crt: OK

Si la validation OCSP (Online Certificate Status Protocol) est utilisée, utilisez la commande "openssl-verify".