Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Gérer le médiateur ONTAP

Contributeurs netapp-sarajane netapp-aoife netapp-thomi netapp-dbagwell netapp-ranuk netapp-aaron-holt netapp-aherbin netapp-mwallis netapp-ahibbard thrisun
PDF

Gérez ONTAP Mediator, y compris la modification des informations d'identification de l'utilisateur, l'arrêt et la réactivation du service, la vérification de son état et l'installation ou la désinstallation de SCST pour la maintenance de l'hôte. Vous pouvez également gérer des certificats, tels que la régénération de certificats auto-signés, leur remplacement par des certificats tiers approuvés et le dépannage des problèmes liés aux certificats.

Modifiez le nom d'utilisateur

Vous pouvez modifier le nom d'utilisateur en procédant comme suit.

Description de la tâche

Effectuez cette tâche sur l’hôte Linux sur lequel vous avez installé ONTAP Mediator.

Si vous ne pouvez pas atteindre cette commande, il vous faudra peut-être exécuter la commande en utilisant le chemin d'accès complet, comme illustré dans l'exemple suivant :

/usr/local/bin/mediator_username

Étapes

Modifiez le nom d'utilisateur en choisissant l'une des options suivantes :

  • Option (a) : exécutez la commande mediator_change_user et répondez aux invites comme indiqué dans l'exemple suivant :

     [root@mediator-host ~]# mediator_change_user
 Modify the Mediator API username by entering the following values:
     Mediator API User Name: mediatoradmin
                   Password:
 New Mediator API User Name: mediator
 The account username has been modified successfully.
 [root@mediator-host ~]#

  • Option (b) : exécutez la commande suivante :

    MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD=mediator2 MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user

     [root@mediator-host ~]# MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD='mediator2' MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user
 The account username has been modified successfully.
 [root@mediator-host ~]#

Changer le mot de passe

Vous pouvez modifier le mot de passe à l'aide de la procédure suivante.

Description de la tâche

Effectuez cette tâche sur l’hôte Linux sur lequel vous avez installé ONTAP Mediator.

Si vous ne pouvez pas atteindre cette commande, il vous faudra peut-être exécuter la commande en utilisant le chemin d'accès complet, comme illustré dans l'exemple suivant :

/usr/local/bin/mediator_change_password

Étapes

Modifiez le mot de passe en choisissant l'une des options suivantes :

  • Option (a) : exécutez le mediator_change_password commande et répond aux invites, comme illustré dans l'exemple suivant :

     [root@mediator-host ~]# mediator_change_password
 Change the Mediator API password by entering the following values:
    Mediator API User Name: mediatoradmin
              Old Password:
              New Password:
          Confirm Password:
 The password has been updated successfully.
 [root@mediator-host ~]#

  • Option (b) : exécutez la commande suivante :

    MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password

    L'exemple montre que le mot de passe passe passe de "mediator1" à "mediator2".

     [root@mediator-host ~]# MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password
 The password has been updated successfully.
 [root@mediator-host ~]#

Arrêtez le médiateur ONTAP

Pour arrêter ONTAP Mediator, procédez comme suit :

Étapes

  1. Arrêtez le médiateur ONTAP :

    systemctl stop ontap_mediator

  2. Arrêt SCST :

    systemctl stop mediator-scst

  3. Désactiver ONTAP Mediator et SCST :

    systemctl diable ontap_mediator mediator-scst

Réactiver ONTAP Mediator

Pour réactiver ONTAP Mediator, procédez comme suit :

Étapes

  1. Activer ONTAP Mediator et SCST :

    systemctl enable ontap_mediator mediator-scst

  2. Démarrer SCST :

    systemctl start mediator-scst

  3. Démarrer le médiateur ONTAP :

    systemctl start ontap_mediator

Vérifiez que le médiateur ONTAP est sain

Après avoir installé ONTAP Mediator, vérifiez qu’il fonctionne correctement.

Étapes

  1. Afficher le statut du médiateur ONTAP :

    1. systemctl status ontap_mediator

      [root@scspr1915530002 ~]# systemctl status ontap_mediator

 ontap_mediator.service - ONTAP Mediator
Loaded: loaded (/etc/systemd/system/ontap_mediator.service; enabled; vendor preset: disabled)
Active: active (running) since Mon 2022-04-18 10:41:49 EDT; 1 weeks 0 days ago
Process: 286710 ExecStop=/bin/kill -s INT $MAINPID (code=exited, status=0/SUCCESS)
Main PID: 286712 (uwsgi)
Status: "uWSGI is ready"
Tasks: 3 (limit: 49473)
Memory: 139.2M
CGroup: /system.slice/ontap_mediator.service
      ├─286712 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
      ├─286716 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
      └─286717 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini

[root@scspr1915530002 ~]#

    2. systemctl status mediator-scst

      [root@scspr1915530002 ~]# systemctl status mediator-scst
   Loaded: loaded (/etc/systemd/system/mediator-scst.service; enabled; vendor preset: disabled)
   Active: active (running) since Mon 2022-04-18 10:41:47 EDT; 1 weeks 0 days ago
  Process: 286595 ExecStart=/etc/init.d/scst start (code=exited, status=0/SUCCESS)
 Main PID: 286662 (iscsi-scstd)
    Tasks: 1 (limit: 49473)
   Memory: 1.2M
   CGroup: /system.slice/mediator-scst.service
           └─286662 /usr/local/sbin/iscsi-scstd

[root@scspr1915530002 ~]#

  2. Confirmez les ports utilisés par ONTAP Mediator :

    netstat

    [root@scspr1905507001 ~]# netstat -anlt | grep -E '3260|31784'

         tcp   0   0 0.0.0.0:31784   0.0.0.0:*      LISTEN

         tcp   0   0 0.0.0.0:3260    0.0.0.0:*      LISTEN

         tcp6  0   0 :::3260         :::*           LISTEN

Effectuer la maintenance de l'hôte

Si la machine virtuelle exécutant ONTAP Mediator doit être mise à niveau avec un noyau plus récent, cela peut entraîner des problèmes de compatibilité avec les modules de noyau SCST utilisés par ONTAP Mediator. Dans ce scénario, NetApp vous recommande de désinstaller et de réinstaller manuellement SCST.

Étape 1 : désinstaller manuellement SCST

Pour désinstaller SCST, vous avez besoin du paquet tar SCST utilisé pour la version installée de ONTAP Mediator.

Étapes

  1. Téléchargez le bundle SCST approprié (comme indiqué dans le tableau suivant) et extrayez-le.

    Pour cette version …​

    Utiliser ce paquet tar…​

    Médiateur ONTAP 1.10

    scst-3.9.tar.gz

    Médiateur ONTAP 1.9.1

    scst-3.8.0.tar.bz2

    Médiateur ONTAP 1.9

    scst-3.8.0.tar.bz2

    Médiateur ONTAP 1.8

    scst-3.8.0.tar.bz2

    Médiateur ONTAP 1.7

    scst-3.7.0.tar.bz2

    Médiateur ONTAP 1.6

    scst-3.7.0.tar.bz2

    Médiateur ONTAP 1.5

    scst-3.6.0.tar.bz2

    Médiateur ONTAP 1.4

    scst-3.6.0.tar.bz2

    Médiateur ONTAP 1.3

    scst-3.5.0.tar.bz2

    Médiateur ONTAP 1.1

    scst-3.4.0.tar.bz2

    Médiateur ONTAP 1.0

    scst-3.3.0.tar.bz2

    1. Accédez au package open source à partir du"Téléchargements de SCST SourceForge" .

    2. Sélectionnez Télécharger les versions publiées.

    3. Extrayez le bundle sur votre VM.

  2. Exécutez les commandes de désinstallation suivantes dans le scst annuaire:

    1. systemctl stop mediator-scst

    2. make scstadm_uninstall

    3. make iscsi_uninstall

    4. make usr_uninstall

    5. make scst_uninstall

    6. depmod

Étape 2 : installer SCST manuellement

Pour installer manuellement SCST, vous avez besoin du bundle tar SCST utilisé pour la version installée d' ONTAP Mediator (voir leTableau SCST ).

Remarque Effectuez cette étape avant d’installer ONTAP Mediator. Si la version SCST que vous utilisez est plus récente que la version fournie avec le programme d'installation ONTAP Mediator, le programme d'installation ignore cette étape.

  1. Exécutez les commandes d'installation suivantes dans le scst annuaire:

    1. make 2release

    2. make scst_install

    3. make usr_install

    4. make iscsi_install

    5. make scstadm_install

    6. depmod

      Remarque

      Si vous effectuez une première installation et souhaitez préinstaller ONTAP Mediator, exécutez la commande suivante avant de passer à l'étape suivante :

      mkdir -p /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys

    7. cp scst/src/certs/scst_module_key.der /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/

    8. patch /etc/init.d/scst < /opt/netapp/lib/ontap_mediator/systemd/scst.patch

      Remarque Si vous effectuez une première installation et souhaitez préinstaller SCST avant d'installer ONTAP Mediator, vous pouvez ignorer cette étape. Le programme d'installation ONTAP Mediator applique tous les correctifs pertinents aux composants SCST lors de l'installation.

  2. Si vous le souhaitez, si le démarrage sécurisé est activé, effectuez les opérations suivantes avant de redémarrer :

    1. Déterminez chaque nom de fichier pour le scst_vdisk , scst , et iscsi_scst modules:

      [root@localhost ~]# modinfo -n scst_vdisk
[root@localhost ~]# modinfo -n scst
[root@localhost ~]# modinfo -n iscsi_scst

    2. Déterminez la version du noyau :

      [root@localhost ~]# uname -r

    3. Signez chaque fichier de module avec le noyau :

      [root@localhost ~]# /usr/src/kernels/<KERNEL-RELEASE>/scripts/sign-file \sha256 \
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.priv \
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der \
_module-filename_

    4. Installez la clé UEFI avec le firmware.

      Les instructions d'installation de la clé UEFI se trouvent à l'adresse suivante :

      /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/README.module-signing

      La clé UEFI générée se trouve à l'emplacement suivant :

    /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der

  3. Redémarrer le système :

    reboot

Désinstaller ONTAP Mediator

Si nécessaire, vous pouvez supprimer ONTAP Mediator.

Avant de commencer

Vous devez déconnecter ONTAP Mediator d'ONTAP avant de le supprimer.

Description de la tâche

Effectuez cette tâche sur l’hôte Linux sur lequel vous avez installé ONTAP Mediator.

Si vous ne pouvez pas atteindre cette commande, il vous faudra peut-être exécuter la commande en utilisant le chemin d'accès complet, comme illustré dans l'exemple suivant :

/usr/local/bin/uninstall_ontap_mediator

Étape

  1. Désinstaller ONTAP Mediator :

    uninstall_ontap_mediator

     [root@mediator-host ~]# uninstall_ontap_mediator

 ONTAP Mediator: Self Extracting Uninstaller

 + Removing ONTAP Mediator. (Log: /tmp/ontap_mediator.GmRGdA/uninstall_ontap_mediator/remove.log)
 + Remove successful.
 [root@mediator-host ~]#

Régénérez un certificat auto-signé temporaire

À partir de ONTAP Mediator 1.7, vous pouvez régénérer un certificat auto-signé temporaire en suivant la procédure suivante.

Remarque Cette procédure n'est prise en charge que sur les systèmes exécutant ONTAP Mediator 1.7 ou version ultérieure.
Description de la tâche

  • Effectuez cette tâche sur l’hôte Linux sur lequel vous avez installé ONTAP Mediator.

  • Vous ne pouvez effectuer cette tâche que si les certificats auto-signés générés sont devenus obsolètes en raison de modifications apportées au nom d'hôte ou à l'adresse IP de l'hôte après l'installation d'ONTAP Mediator.

  • Une fois que le certificat auto-signé temporaire a été remplacé par un certificat tiers approuvé, vous devez ne pas_ utiliser cette tâche pour régénérer un certificat. L'absence d'un certificat auto-signé entraînera l'échec de cette procédure.

Étape

Pour régénérer un nouveau certificat auto-signé temporaire pour l'hôte actuel, effectuez l'étape suivante :

  1. Redémarrer ONTAP Mediator :

    ./make_self_signed_certs.sh overwrite

    [root@xyz000123456 ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
[root@xyz000123456 server_config]# ./make_self_signed_certs.sh overwrite

Adding Subject Alternative Names to the self-signed server certificate
#
# OpenSSL example configuration file.
Generating self-signed certificates
Generating RSA private key, 4096 bit long modulus (2 primes)
..................................................................................................................................................................++++
........................................................++++
e is 65537 (0x010001)
Generating a RSA private key
................................................++++
.............................................................................................................................................++++
writing new private key to 'ontap_mediator_server.key'
-----
Signature ok
subject=C = US, ST = California, L = San Jose, O = "NetApp, Inc.", OU = ONTAP Core Software, CN = ONTAP Mediator, emailAddress = support@netapp.com
Getting CA Private Key

Remplacez les certificats auto-signés par des certificats tiers approuvés

S'il est pris en charge, vous pouvez remplacer les certificats auto-signés par des certificats tiers approuvés.

Avertissement

  • Les certificats tiers ne sont pris en charge que depuis ONTAP 9.16.1 et dans certaines versions antérieures de correctifs ONTAP. Voir "Bugs NetApp ID de bug en ligne CONTAP-243278".

  • Les certificats tiers ne sont pris en charge que sur les systèmes exécutant ONTAP Mediator 1.7 ou version ultérieure.
Description de la tâche

  • Effectuez cette tâche sur l’hôte Linux sur lequel vous avez installé ONTAP Mediator.

  • Vous pouvez effectuer cette tâche si les certificats auto-signés générés doivent être remplacés par des certificats obtenus auprès d'une autorité de certification subordonnée de confiance. Pour ce faire, vous devez avoir accès à une infrastructure à clé publique (PKI) fiable.

  • L'image suivante montre les objectifs de chaque certificat de Mediator ONTAP.

    Fins du certificat du médiateur ONTAP

  • L'image suivante montre la configuration du serveur Web et la configuration d'ONTAP Mediator.

    Configuration du serveur Web et configuration du médiateur ONTAP

Étape 1 : obtenir un certificat d'un tiers émettant un certificat d'autorité de certification

Vous pouvez obtenir un certificat auprès d'une autorité PKI en suivant la procédure suivante.

L'exemple suivant illustre le remplacement des acteurs de certificat auto-signés par les acteurs de certificat tiers situés à `/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/`l'.

Remarque

L'exemple illustre les critères nécessaires pour les certificats requis pour ONTAP Mediator. Vous pouvez obtenir les certificats auprès d'une autorité PKI d'une manière qui peut être différente de cette procédure. Ajustez la procédure en fonction des besoins de votre entreprise.
ONTAP Mediator 1.9 et versions ultérieures

  1. Créez une clé privée intermediate.key et un fichier de configuration openssl_ca.cnf qui seront utilisés par l'autorité PKI pour générer un certificat.

    1. Générer la clé privée intermediate.key :

      Exemple

    openssl genrsa -aes256 -out intermediate.key 4096

    1. Le fichier de configuration openssl_ca.cnf (situé à /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf) définit les propriétés que le certificat généré doit avoir.

  2. Utilisez la clé privée et le fichier de configuration pour créer une demande de signature de certificat intermediate.csr:

    Exemple:

    openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf

    [root@scs000216655 server_config]# openssl req -key intermediate.key -new -config openssl_ca.cnf -out intermediate.csr
Enter pass phrase for intermediate.key:
[root@scs000216655 server_config]# cat intermediate.csr
-----BEGIN CERTIFICATE REQUEST-----
<certificate_value>
-----END CERTIFICATE REQUEST-----

  3. Envoyer la demande de signature de certificat intermediate.csr à une autorité PKI pour leur signature.

    L'autorité PKI vérifie la demande et signe le , générant le .csr`certificat `intermediate.crt. De plus, vous devez obtenir le root_intermediate.crt certificat qui a signé le intermediate.crt certificat auprès de l'autorité PKI.

    Remarque Pour les clusters SnapMirror Business Continuity (SM-BC), vous devez ajouter les intermediate.crt certificats et root_intermediate.crt à un cluster ONTAP. Voir "Configurer ONTAP Mediator et les clusters pour la synchronisation active SnapMirror".
ONTAP Mediator 1.8 et versions antérieures

  1. Créez une clé privée ca.key et un fichier de configuration openssl_ca.cnf qui seront utilisés par l'autorité PKI pour générer un certificat.

    1. Générer la clé privée ca.key :

      Exemple

    openssl genrsa -aes256 -out ca.key 4096

    1. Le fichier de configuration openssl_ca.cnf (situé à /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf) définit les propriétés que le certificat généré doit avoir.

  2. Utilisez la clé privée et le fichier de configuration pour créer une demande de signature de certificat ca.csr:

    Exemple:

    openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf

    [root@scs000216655 server_config]# openssl req -key ca.key -new -config openssl_ca.cnf -out ca.csr
Enter pass phrase for ca.key:
[root@scs000216655 server_config]# cat ca.csr
-----BEGIN CERTIFICATE REQUEST-----
<certificate_value>
-----END CERTIFICATE REQUEST-----

  3. Envoyer la demande de signature de certificat ca.csr à une autorité PKI pour leur signature.

    L'autorité PKI vérifie la demande et signe le , générant le .csr`certificat `ca.crt. De plus, vous devez obtenir le root_ca.crt that signed the `ca.crt certificat auprès de l'autorité PKI.

    Remarque Pour les clusters SnapMirror Business Continuity (SM-BC), vous devez ajouter les ca.crt certificats et root_ca.crt à un cluster ONTAP. Voir "Configurer ONTAP Mediator et les clusters pour la synchronisation active SnapMirror".

Étape 2 : générez un certificat de serveur en signant avec une certification d'autorité de certification tierce

ONTAP Mediator 1.9 et versions ultérieures

Un certificat de serveur doit être signé par la clé privée intermediate.key et le certificat tiers intermediate.crt . En outre, le fichier de configuration /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf contient certains attributs qui spécifient les propriétés requises pour les certificats de serveur émis par OpenSSL.

Les commandes suivantes peuvent générer un certificat de serveur.

Étapes

  1. Pour générer une requête de signature de certificat de serveur (CSR), exécutez la commande suivante à partir du /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config dossier :

    openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr

  2. Pour générer un certificat de serveur à partir du CSR, exécutez la commande suivante à partir du /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config dossier:

    Remarque Ces fichiers ont été obtenus d'une autorité de l'ICP. Si vous utilisez un nom de certificat différent, remplacez intermediate.crt et intermediate.key par les noms de fichier appropriés.

    openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA intermediate.crt -CAkey intermediate.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt

    • L' -CAcreateserial`option est utilisée pour générer les `intermediate.srl fichiers.

ONTAP Mediator 1.8 et versions antérieures

Un certificat de serveur doit être signé par la clé privée ca.key et le certificat tiers ca.crt . En outre, le fichier de configuration /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf contient certains attributs qui spécifient les propriétés requises pour les certificats de serveur émis par OpenSSL.

Les commandes suivantes peuvent générer un certificat de serveur.

Étapes

  1. Pour générer une requête de signature de certificat de serveur (CSR), exécutez la commande suivante à partir du /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config dossier :

    openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr

  2. Pour générer un certificat de serveur à partir du CSR, exécutez la commande suivante à partir du /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config dossier:

    Remarque Ces fichiers ont été obtenus d'une autorité de l'ICP. Si vous utilisez un nom de certificat différent, remplacez ca.crt et ca.key par les noms de fichier appropriés.

    openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA ca.crt -CAkey ca.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt

    • L' -CAcreateserial`option est utilisée pour générer les `ca.srl fichiers.

Étape 3 : remplacez le nouveau certificat d'autorité de certification tiers et le certificat de serveur dans la configuration du médiateur ONTAP

ONTAP Mediator 1.9 et versions ultérieures

La configuration du certificat est fournie à ONTAP Mediator dans le fichier de configuration situé à l'adresse /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml . Le fichier comprend les attributs suivants :

cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'

  • cert_path et key_path sont des variables de certificat de serveur.

  • ca_cert_path, ca_key_path, et ca_serial_path Sont des variables de certificat CA.

Étapes

  1. Remplacez tous les intermediate.* fichiers par les certificats tiers.

  2. Créez une chaîne de certificats à partir des intermediate.crt certificats et ontap_mediator_server.crt :

    cat ontap_mediator_server.crt intermediate.crt > ontap_mediator_server_chain.crt

  3. Mettre à jour le /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini fichier.

    Mettre à jour les valeurs de mediator_cert, , mediator_key`et `ca_certificate:

    set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

    set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

    set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_intermediate.crt

    • La mediator_cert valeur est le chemin du ontap_mediator_server_chain.crt fichier.

    • Le mediator_key value est le chemin d'accès de la clé dans le ontap_mediator_server.crt fichier, qui est ontap_mediator_server.key.

    • La ca_certificate valeur est le chemin du root_intermediate.crt fichier.

  4. Vérifiez que les attributs suivants des certificats nouvellement générés sont définis correctement :

    • Propriétaire du groupe Linux : netapp:netapp

    • Autorisations Linux : 600

  5. Redémarrer ONTAP Mediator :

    systemctl restart ontap_mediator

ONTAP Mediator 1.8 et versions antérieures

La configuration du certificat est fournie à ONTAP Mediator dans le fichier de configuration situé à l'adresse /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml . Le fichier comprend les attributs suivants :

cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'

  • cert_path et key_path sont des variables de certificat de serveur.

  • ca_cert_path, ca_key_path, et ca_serial_path Sont des variables de certificat CA.

Étapes

  1. Remplacez tous les ca.* fichiers par les certificats tiers.

  2. Créez une chaîne de certificats à partir des ca.crt certificats et ontap_mediator_server.crt :

    cat ontap_mediator_server.crt ca.crt > ontap_mediator_server_chain.crt

  3. Mettre à jour le /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini fichier.

    Mettre à jour les valeurs de mediator_cert, , mediator_key`et `ca_certificate:

    set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

    set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

    set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_ca.crt

    • La mediator_cert valeur est le chemin du ontap_mediator_server_chain.crt fichier.

    • Le mediator_key value est le chemin d'accès de la clé dans le ontap_mediator_server.crt fichier, qui est ontap_mediator_server.key.

    • La ca_certificate valeur est le chemin du root_ca.crt fichier.

  4. Vérifiez que les attributs suivants des certificats nouvellement générés sont définis correctement :

    • Propriétaire du groupe Linux : netapp:netapp

    • Autorisations Linux : 600

  5. Redémarrer ONTAP Mediator :

    systemctl restart ontap_mediator

Étape 4 : si vous le souhaitez, utilisez un chemin ou un nom différent pour vos certificats tiers

ONTAP Mediator 1.9 et versions ultérieures

Vous pouvez utiliser des certificats tiers portant un nom différent de ou stocker les certificats tiers à un emplacement différent intermediate.*.

Étapes

  1. Configurez le /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml fichier pour remplacer les valeurs de variable par défaut dans le ontap_mediator.config.yaml fichier.

    Si vous avez obtenu intermediate.crt d'une autorité PKI et que vous stockez sa clé privée intermediate.key à l'emplacement /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config, le ontap_mediator.user_config.yaml fichier devrait ressembler à l'exemple suivant :

    Remarque Si vous avez utilisé intermediate.crt pour signer le ontap_mediator_server.crt certificat, le intermediate.srl fichier est généré. Voir Étape 2 : générez un certificat de serveur en signant avec une certification d'autorité de certification tierce pour plus d'informations. 
    [root@scs000216655 server_config]# cat  ontap_mediator.user_config.yaml

# This config file can be used to override the default settings in ontap_mediator.config.yaml
# To override a setting, copy the property key from ontap_mediator.config.yaml to this file and
# set the property to the desired value. e.g.,
#
# The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml
#
# To override this value with 6 mailboxes per target, add the following key/value pair
# below this comment:
#
# 'default_mailboxes_per_target': 6
#
cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'

    1. Si vous utilisez une structure de certificat où le root_intermediate.crt certificat fournit un certificat qui signe le certificat intermediate.crt ontap_mediator_server.crt , créez une chaîne de certificats à partir du intermediate.crt et des ontap_mediator_server.crt certificats :

      Remarque Vous devez avoir obtenu les intermediate.crt certificats et ontap_mediator_server.crt d'une autorité PKI plus tôt dans la procédure.

      cat ontap_mediator_server.crt intermediate.crt > ontap_mediator_server_chain.crt

    2. Mettre à jour le /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini fichier.

      Mettre à jour les valeurs de mediator_cert, , mediator_key`et `ca_certificate:

      set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

      set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

      set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_intermediate.crt

      • La mediator_cert valeur est le chemin du ontap_mediator_server_chain.crt fichier.

      • La mediator_key valeur est le chemin d'accès de la clé dans le ontap_mediator_server.crt fichier, qui est ontap_mediator_server.key.

      • La ca_certificate valeur est le chemin du root_intermediate.crt fichier.

        Remarque Pour les clusters SnapMirror Business Continuity (SM-BC), vous devez ajouter les intermediate.crt certificats et root_intermediate.crt à un cluster ONTAP. Voir "Configurer ONTAP Mediator et les clusters pour la synchronisation active SnapMirror".

    3. Vérifiez que les attributs suivants des certificats nouvellement générés sont définis correctement :

      • Propriétaire du groupe Linux : netapp:netapp

      • Autorisations Linux : 600

  2. Redémarrez ONTAP Mediator lorsque les certificats sont mis à jour dans le fichier de configuration :

    systemctl restart ontap_mediator

ONTAP Mediator 1.8 et versions antérieures

Vous pouvez utiliser des certificats tiers portant un nom différent de ou stocker les certificats tiers à un emplacement différent ca.*.

Étapes

  1. Configurez le /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml fichier pour remplacer les valeurs de variable par défaut dans le ontap_mediator.config.yaml fichier.

    Si vous avez obtenu ca.crt d'une autorité PKI et que vous stockez sa clé privée ca.key à l'emplacement /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config, le ontap_mediator.user_config.yaml fichier devrait ressembler à l'exemple suivant :

    Remarque Si vous avez utilisé ca.crt pour signer le ontap_mediator_server.crt certificat, le ca.srl fichier est généré. Voir Étape 2 : générez un certificat de serveur en signant avec une certification d'autorité de certification tierce pour plus d'informations. 
    [root@scs000216655 server_config]# cat  ontap_mediator.user_config.yaml

# This config file can be used to override the default settings in ontap_mediator.config.yaml
# To override a setting, copy the property key from ontap_mediator.config.yaml to this file and
# set the property to the desired value. e.g.,
#
# The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml
#
# To override this value with 6 mailboxes per target, add the following key/value pair
# below this comment:
#
# 'default_mailboxes_per_target': 6
#
cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'

    1. Si vous utilisez une structure de certificat où le root_ca.crt certificat fournit un certificat qui signe le certificat ca.crt ontap_mediator_server.crt , créez une chaîne de certificats à partir du ca.crt et des ontap_mediator_server.crt certificats :

      Remarque Vous devez avoir obtenu les ca.crt certificats et ontap_mediator_server.crt d'une autorité PKI plus tôt dans la procédure.

      cat ontap_mediator_server.crt ca.crt > ontap_mediator_server_chain.crt

    2. Mettre à jour le /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini fichier.

      Mettre à jour les valeurs de mediator_cert, , mediator_key`et `ca_certificate:

      set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

      set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

      set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_ca.crt

      • La mediator_cert valeur est le chemin du ontap_mediator_server_chain.crt fichier.

      • La mediator_key valeur est le chemin d'accès de la clé dans le ontap_mediator_server.crt fichier, qui est ontap_mediator_server.key.

      • La ca_certificate valeur est le chemin du root_ca.crt fichier.

        Remarque Pour les clusters SnapMirror Business Continuity (SM-BC), vous devez ajouter les ca.crt certificats et root_ca.crt à un cluster ONTAP. Voir "Configurer ONTAP Mediator et les clusters pour la synchronisation active SnapMirror".

    3. Vérifiez que les attributs suivants des certificats nouvellement générés sont définis correctement :

      • Propriétaire du groupe Linux : netapp:netapp

      • Autorisations Linux : 600

  2. Redémarrez ONTAP Mediator lorsque les certificats sont mis à jour dans le fichier de configuration :

    systemctl restart ontap_mediator

Résoudre les problèmes liés aux certificats

Vous pouvez vérifier certaines propriétés des certificats.

Vérifiez l'expiration du certificat

Utilisez la commande suivante pour identifier la plage de validité du certificat.

ONTAP Mediator 1.9 et versions ultérieures
[root@mediator_host server_config]# openssl x509 -in intermediate.crt -text -noout
Certificate:
    Data:
...
        Validity
            Not Before: Feb 22 19:57:25 2024 GMT
            Not After : Feb 15 19:57:25 2029 GMT
ONTAP Mediator 1.8 et versions antérieures
[root@mediator_host server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...
        Validity
            Not Before: Feb 22 19:57:25 2024 GMT
            Not After : Feb 15 19:57:25 2029 GMT

Vérifier les extensions X509v3 dans la certification CA

Utilisez la commande suivante pour vérifier les extensions X509v3 dans la certification CA.

ONTAP Mediator 1.9 et versions ultérieures

Les propriétés définies dans v3_ca openssl_ca.cnf sont affichées comme X509v3 extensions dans intermediate.crt.

[root@mediator_host server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@mediator_host server_config]# cat openssl_ca.cnf
...
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, cRLSign, digitalSignature, keyCertSign

[root@mediator_host server_config]# openssl x509 -in intermediate.crt -text -noout
Certificate:
    Data:
...
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
            X509v3 Authority Key Identifier:
                keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27

            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign
ONTAP Mediator 1.8 et versions antérieures

Les propriétés définies dans v3_ca openssl_ca.cnf sont affichées comme X509v3 extensions dans ca.crt.

[root@mediator_host server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@mediator_host server_config]# cat openssl_ca.cnf
...
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, cRLSign, digitalSignature, keyCertSign

[root@mediator_host server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
            X509v3 Authority Key Identifier:
                keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27

            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign

Vérifiez les extensions X509v3 dans le certificat de serveur et les noms Alt d'objet

Le v3_req propriétés définies dans openssl_server.cnf le fichier de configuration s'affiche sous la forme X509v3 extensions dans le certificat.

Dans l'exemple suivant, vous pouvez obtenir les variables dans le alt_names sections en exécutant les commandes hostname -A et hostname -I sur la machine virtuelle Linux sur laquelle ONTAP Mediator est installé.

Vérifiez auprès de votre administrateur réseau les valeurs correctes des variables.

ONTAP Mediator 1.9 et versions ultérieures
[root@mediator_host server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@mediator_host server_config]# cat openssl_server.cnf
...
[ v3_req ]
basicConstraints       = CA:false
extendedKeyUsage       = serverAuth
keyUsage               = keyEncipherment, dataEncipherment
subjectAltName         = @alt_names

[ alt_names ]
DNS.1 = abc.company.com
DNS.2 = abc-v6.company.com
IP.1 = 1.2.3.4
IP.2 = abcd:abcd:abcd:abcd:abcd:abcd

[root@mediator_host server_config]# openssl x509 -in intermediate.crt -text -noout
Certificate:
    Data:
...

        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Key Usage:
                Key Encipherment, Data Encipherment
            X509v3 Subject Alternative Name:
                DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd
ONTAP Mediator 1.8 et versions antérieures
[root@mediator_host server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@mediator_host server_config]# cat openssl_server.cnf
...
[ v3_req ]
basicConstraints       = CA:false
extendedKeyUsage       = serverAuth
keyUsage               = keyEncipherment, dataEncipherment
subjectAltName         = @alt_names

[ alt_names ]
DNS.1 = abc.company.com
DNS.2 = abc-v6.company.com
IP.1 = 1.2.3.4
IP.2 = abcd:abcd:abcd:abcd:abcd:abcd

[root@mediator_host server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...

        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Key Usage:
                Key Encipherment, Data Encipherment
            X509v3 Subject Alternative Name:
                DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd

Vérifiez qu'une clé privée correspond à un certificat

Vous pouvez vérifier si une clé privée particulière correspond à un certificat.

Utilisez les commandes OpenSSL suivantes respectivement sur la clé et le certificat.

ONTAP Mediator 1.9 et versions ultérieures
[root@mediator_host server_config]# openssl rsa -noout -modulus -in intermediate.key | openssl md5
Enter pass phrase for intermediate.key:
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
[root@mediator_host server_config]# openssl x509 -noout -modulus -in intermediate.crt | openssl md5
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
ONTAP Mediator 1.8 et versions antérieures
[root@mediator_host server_config]# openssl rsa -noout -modulus -in ca.key | openssl md5
Enter pass phrase for ca.key:
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
[root@mediator_host server_config]# openssl x509 -noout -modulus -in ca.crt | openssl md5
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc

Si le -modulus attribut pour les deux correspondances, il indique que la clé privée et la paire de certificats sont compatibles et peuvent fonctionner l'une avec l'autre.

Vérifiez qu'un certificat de serveur est créé à partir d'un certificat d'autorité de certification particulier

Vous pouvez utiliser la commande suivante pour vérifier que le certificat du serveur est créé à partir d'un certificat d'autorité de certification spécifique.

ONTAP Mediator 1.9 et versions ultérieures
[root@mediator_host server_config]# openssl verify -CAfile root_ca.crt --untrusted intermediate.crt ontap_mediator_server.crt
ontap_mediator_server.crt: OK
[root@mediator_host server_config]#
ONTAP Mediator 1.8 et versions antérieures
[root@mediator_host server_config]# openssl verify -CAfile ca.crt ontap_mediator_server.crt
ontap_mediator_server.crt: OK

Si la validation OCSP (Online Certificate Status Protocol) est utilisée, utilisez la commande "openssl-verify".