Configurez le certificat d'autorité de certification pour le service de plug-ins SnapCenter SAP HANA sur l'hôte Windows
Vous devez gérer le mot de passe du magasin de clés des plug-ins personnalisés et de son certificat, configurer le certificat de l'autorité de certification, configurer les certificats racine ou intermédiaires dans le magasin de confiance des plug-ins personnalisés et configurer la paire de clés signées de l'autorité de certification dans le magasin de confiance des plug-ins personnalisés SnapCenter pour activer le certificat numérique installé.
Les plug-ins personnalisés utilisent le fichier keystore.jks, qui se trouve à l'adresse C:\Program Files\NetApp\SnapCenter\SnapCenter Plug-in Creator\etc comme magasin de confiance et magasin de clés.
Gérer le mot de passe pour le magasin de clés de plug-in personnalisé et l'alias de la paire de clés signée par l'autorité de certification utilisée
Étapes
-
Vous pouvez récupérer le mot de passe par défaut du magasin de clés enfichable personnalisé à partir du fichier de propriétés de l'agent du plug-in personnalisé.
C'est la valeur correspondant à la clé KEYSTORE_PASS.
-
Modifiez le mot de passe du magasin de clés :
keytool -storepasswd -keystore keystore.jks
Si la commande "keytool" n'est pas reconnue sur l'invite de commande Windows, remplacez la commande keytool par son chemin complet. C:\Program Files\Java\<jdk_version>\bin\keytool.exe » -storepasswd -keystore.jks
-
Remplacez le mot de passe de tous les alias des entrées de clé privée du magasin de clés par le même mot de passe que celui utilisé pour le magasin de clés :
keytool -keypasswd -alias "alias_name_in_cert" -keystore.jks
Procédez de même pour la clé KEYSTORE_PASS dans le fichier agent.properties.
-
Redémarrez le service après avoir modifié le mot de passe.
Le mot de passe du magasin de clés de plug-in personnalisé et de tous les mots de passe d'alias associés à la clé privée doivent être identiques.
Configurez les certificats racine ou intermédiaire sur le magasin de confiance du plug-in personnalisé
Vous devez configurer les certificats racine ou intermédiaire sans la clé privée sur le magasin de confiance du plug-in personnalisé.
Étapes
-
Naviguez jusqu'au dossier contenant le magasin de clés de plug-in personnalisé C:\Program Files\NetApp\SnapCenter\Snapcenter Plug-in Creator\etc
-
Localisez le fichier 'keystore.jks'.
-
Répertoriez les certificats ajoutés dans le magasin de clés :
keytool -list -v -keystore keystore.jks
-
Ajouter un certificat racine ou intermédiaire :
Keytool -import -trucacts -alias myRootCA -file /root/USERTrustRSA_Root.cer -keystore.jks
-
Redémarrez le service après avoir configuré les certificats racine ou intermédiaire sur le magasin de confiance personnalisé du plug-in.
Vous devez ajouter le certificat de l'autorité de certification racine, puis les certificats de l'autorité de certification intermédiaire. |
Configurez la paire de clés signée CA sur un plug-in de stockage en fiducie personnalisé
Vous devez configurer la paire de clés signées CA dans le magasin de confiance personnalisé du plug-in.
Étapes
-
Accédez au dossier contenant le magasin de clés personnalisé du plug-in C:\Program Files\NetApp\SnapCenter\SnapCenter Plug-in Creator\etc
-
Localisez le fichier keystore.jks.
-
Répertoriez les certificats ajoutés dans le magasin de clés :
keytool -list -v -keystore keystore.jks
-
Ajoutez le certificat de l'autorité de certification ayant une clé privée et une clé publique.
Keytool -importkeystore -srckeystore /root/snapcenter.ssl.test.netapp.com.pfx -srcstoretype pkcs12 -destkeystore.jks -desstoretype JKS
-
Répertorier les certificats ajoutés dans le magasin de clés.
keytool -list -v -keystore keystore.jks
-
Vérifiez que le magasin de clés contient l'alias correspondant au nouveau certificat de l'autorité de certification, qui a été ajouté au magasin de clés.
-
Remplacez le mot de passe de la clé privée ajoutée pour le certificat CA par le mot de passe du magasin de clés.
Le mot de passe de magasin de clés personnalisé par défaut est la valeur du FICHIER KEYSTORE_PASS dans le fichier agent.properties.
Keytool -keypasswd -alias "alias_name_in_CA_cert" -keystore.jks
-
Configurez le nom d'alias à partir du certificat CA dans le fichier agent.properties.
Mettez cette valeur à jour par rapport à la clé SCC_CERTIFICATE_ALIAS.
-
Redémarrez le service après avoir configuré la paire de clés signée par l'autorité de certification dans le magasin de confiance personnalisé du plug-in.
Configurez la liste de révocation de certificats (CRL) pour les plug-ins personnalisés SnapCenter
À propos de cette tâche
-
Pour télécharger le fichier CRL le plus récent pour le certificat d'autorité de certification associé, reportez-vous à la section "Comment mettre à jour le fichier de liste de révocation de certificats dans le certificat d'autorité de certification SnapCenter".
-
Les plug-ins personnalisés SnapCenter rechercheront les fichiers CRL dans un répertoire préconfiguré.
-
Le répertoire par défaut des fichiers CRL pour les plug-ins personnalisés SnapCenter est 'C:\Program Files\NetApp\SnapCenter\SnapCenter Plug-in Creator\ etc\crl'.
Étapes
-
Vous pouvez modifier et mettre à jour le répertoire par défaut du fichier agent.properties par rapport à la clé CRL_PATH.
-
Vous pouvez placer plusieurs fichiers CRL dans ce répertoire.
Les certificats entrants seront vérifiés pour chaque CRL.