Skip to main content
SnapCenter Software 6.0
Une version plus récente de ce produit est disponible.
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configurez le certificat d'autorité de certification pour le service de plug-ins SnapCenter SAP HANA sur l'hôte Linux

Contributeurs
PDF

Vous devez gérer le mot de passe du magasin de clés des plug-ins et son certificat, configurer le certificat CA, configurer les certificats racine ou intermédiaires dans le magasin de confiance des plug-ins et configurer la paire de clés signée CA dans le magasin de confiance des plug-ins avec le service de plug-ins SnapCenter pour activer le certificat numérique installé.

Les plug-ins utilisent le fichier « keystore.jks », qui se trouve dans /opt/NetApp/snapcenter/scc/etc à la fois comme magasin de confiance et magasin de clés.

Gérer le mot de passe du magasin de clés du plug-in et l'alias de la paire de clés signée par l'autorité de certification en cours d'utilisation

Étapes

  1. Vous pouvez récupérer le mot de passe par défaut du magasin de clés du plug-in à partir du fichier de propriétés de l'agent du plug-in.

    C'est la valeur correspondant à la clé 'KEYSTORE_PASS'.

  2. Modifiez le mot de passe du magasin de clés :

     keytool -storepasswd -keystore keystore.jks
. Remplacez le mot de passe de tous les alias des entrées de clé privée du magasin de clés par le même mot de passe que celui utilisé pour le magasin de clés :
    keytool -keypasswd -alias "alias_name_in_cert" -keystore keystore.jks

    Procédez de même pour la clé KEYSTORE_PASS dans le fichier agent.properties.

  3. Redémarrez le service après avoir modifié le mot de passe.

Remarque Le mot de passe du magasin de clés du plug-in et de tous les mots de passe d'alias associés à la clé privée doivent être identiques.

Configurer les certificats racine ou intermédiaires pour le plug-in trust-store

Vous devez configurer les certificats racine ou intermédiaires sans la clé privée pour connecter le magasin de confiance.

Étapes

  1. Accédez au dossier contenant le keystore du plug-in : /opt/NetApp/snapcenter/scc/etc.

  2. Localisez le fichier 'keystore.jks'.

  3. Répertoriez les certificats ajoutés dans le magasin de clés :

    keytool -list -v -keystore keystore.jks

  4. Ajouter un certificat racine ou intermédiaire :

     keytool -import -trustcacerts -alias myRootCA -file /root/USERTrustRSA_Root.cer -keystore keystore.jks
. Redémarrez le service après avoir configuré les certificats racine ou intermédiaires pour le plug-in trust-store.
Remarque Vous devez ajouter le certificat de l'autorité de certification racine, puis les certificats de l'autorité de certification intermédiaire.

Configurer la paire de clés signée par l'autorité de certification pour le plug-in trust-store

Vous devez configurer la paire de clés signée par l'autorité de certification dans le magasin de confiance du plug-in.

Étapes

  1. Accédez au dossier contenant le keystore du plug-in /opt/NetApp/snapcenter/scc/etc.

  2. Localisez le fichier 'keystore.jks'.

  3. Répertoriez les certificats ajoutés dans le magasin de clés :

    keytool -list -v -keystore keystore.jks

  4. Ajoutez le certificat de l'autorité de certification ayant une clé privée et une clé publique.

    keytool -importkeystore -srckeystore /root/snapcenter.ssl.test.netapp.com.pfx -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS

  5. Répertorier les certificats ajoutés dans le magasin de clés.

    keytool -list -v -keystore keystore.jks

  6. Vérifiez que le magasin de clés contient l'alias correspondant au nouveau certificat de l'autorité de certification, qui a été ajouté au magasin de clés.

  7. Remplacez le mot de passe de la clé privée ajoutée pour le certificat CA par le mot de passe du magasin de clés.

    Le mot de passe du magasin de clés par défaut est la valeur de la clé KEYSTORE_PASS dans le fichier agent.properties.

     keytool -keypasswd -alias "alias_name_in_CA_cert" -keystore keystore.jks
. Si le nom d'alias du certificat de l'autorité de certification est long et contient de l'espace ou des caractères spéciaux ("*",","), remplacez le nom d'alias par un nom simple :
     keytool -changealias -alias "long_alias_name" -destalias "simple_alias" -keystore keystore.jks
. Configurez le nom d'alias à partir du certificat CA dans le fichier agent.properties.

    Mettez cette valeur à jour par rapport à la clé SCC_CERTIFICATE_ALIAS.

  8. Redémarrez le service après avoir configuré la paire de clés signée par l'autorité de certification pour le plug-in trust-store.

Configurer la liste de révocation des certificats (CRL) pour les plug-ins SnapCenter

Description de la tâche

  • Les plug-ins SnapCenter rechercheront les fichiers CRL dans un répertoire préconfiguré.

  • Le répertoire par défaut des fichiers CRL pour les plug-ins SnapCenter est « opt/NetApp/snapcenter/scc/etc/crl ».

Étapes

  1. Vous pouvez modifier et mettre à jour le répertoire par défaut du fichier agent.properties par rapport à la clé CRL_PATH.

    Vous pouvez placer plusieurs fichiers CRL dans ce répertoire. Les certificats entrants seront vérifiés pour chaque CRL.