Skip to main content
SnapCenter software
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configurer des connexions MySQL sécurisées avec SnapCenter Server

PDF

Vous pouvez générer des certificats Secure Sockets Layer (SSL) et des fichiers de clés si vous souhaitez sécuriser la communication entre SnapCenter Server et MySQL Server dans des configurations autonomes ou des configurations d'équilibrage de charge réseau (NLB).

Configurer des connexions MySQL sécurisées pour les configurations SnapCenter Server autonomes

Vous pouvez générer des certificats et des fichiers de clés Secure Sockets Layer (SSL) si vous souhaitez sécuriser la communication entre SnapCenter Server et MySQL Server. Vous devez configurer les certificats et les fichiers de clés dans le serveur MySQL et le serveur SnapCenter .

Les certificats suivants sont générés :

  • Certificat CA

  • Certificat public du serveur et fichier de clé privée

  • Certificat public client et fichier de clé privée

Mesures

  1. Configurez les certificats SSL et les fichiers de clés pour les serveurs et clients MySQL sous Windows à l'aide de la commande openssl.

    Pour plus d'informations, voir "MySQL version 5.7 : Création de certificats et de clés SSL avec OpenSSL"

    Remarque La valeur du nom commun utilisée pour le certificat du serveur, le certificat client et les fichiers de clés doit être différente de la valeur du nom commun utilisée pour le certificat de l'autorité de certification. Si les valeurs de nom commun sont les mêmes, les fichiers de certificat et de clé échouent pour les serveurs compilés à l'aide d'OpenSSL.

    Meilleure pratique : vous devez utiliser le nom de domaine complet (FQDN) du serveur comme nom commun pour le certificat du serveur.

  2. Copiez les certificats SSL et les fichiers clés dans le dossier MySQL Data.

    Le chemin d'accès par défaut du dossier de données MySQL est C:\ProgramData\NetApp\SnapCenter\MySQL Data\Data\ .

  3. Mettez à jour les chemins d'accès au certificat CA, au certificat public du serveur, au certificat public du client, à la clé privée du serveur et à la clé privée du client dans le fichier de configuration du serveur MySQL (my.ini).

    Le chemin par défaut du fichier de configuration du serveur MySQL (my.ini) est C:\ProgramData\NetApp\SnapCenter\MySQL Data\my.ini .

    Remarque Vous devez spécifier les chemins d'accès au certificat CA, au certificat public du serveur et à la clé privée du serveur dans la section [mysqld] du fichier de configuration du serveur MySQL (my.ini).

    Vous devez spécifier les chemins d'accès au certificat CA, au certificat public client et à la clé privée client dans la section [client] du fichier de configuration du serveur MySQL (my.ini).

    L'exemple suivant montre les certificats et les fichiers de clés copiés dans la section [mysqld] du fichier my.ini dans le dossier par défaut C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data .

    ssl-ca="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/ca.pem"
    ssl-cert="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/server-cert.pem"
    ssl-key="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/server-key.pem"

    L'exemple suivant montre les chemins mis à jour dans la section [client] du fichier my.ini.

    ssl-ca="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/ca.pem"
    ssl-cert="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/client-cert.pem"
    ssl-key="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/client-key.pem"

  4. Arrêtez l’application Web SnapCenter Server dans Internet Information Server (IIS).

  5. Redémarrez le service MySQL.

  6. Mettez à jour la valeur de la clé MySQLProtocol dans le fichier SnapManager.Web.UI.dll.config.

    L'exemple suivant montre la valeur de la clé MySQLProtocol mise à jour dans le fichier SnapManager.Web.UI.dll.config.

    <add key="MySQLProtocol" value="SSL" />

  7. Mettez à jour le fichier SnapManager.Web.UI.dll.config avec les chemins fournis dans la section [client] du fichier my.ini.

    L'exemple suivant montre les chemins mis à jour dans la section [client] du fichier my.ini.

    <add key="ssl-client-cert" value="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/client-cert.pem" />
    <add key="ssl-client-key" value="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/client-key.pem" />
    <add key="ssl-ca" value="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/ca.pem" />

  8. Démarrez l’application Web SnapCenter Server dans IIS.

Configurer des connexions MySQL sécurisées pour les configurations HA

Vous pouvez générer des certificats Secure Sockets Layer (SSL) et des fichiers de clés pour les deux nœuds haute disponibilité (HA) si vous souhaitez sécuriser la communication entre SnapCenter Server et les serveurs MySQL. Vous devez configurer les certificats et les fichiers de clés dans les serveurs MySQL et sur les nœuds HA.

Les certificats suivants sont générés :

  • Certificat CA

    Un certificat CA est généré sur l’un des nœuds HA et ce certificat CA est copié sur l’autre nœud HA.

  • Fichiers de certificat public et de clé privée du serveur pour les deux nœuds HA

  • Fichiers de certificat public client et de clé privée client pour les deux nœuds HA

Mesures

  1. Pour le premier nœud HA, configurez les certificats SSL et les fichiers de clés pour les serveurs et clients MySQL sous Windows à l'aide de la commande openssl.

    Pour plus d'informations, voir "MySQL version 5.7 : Création de certificats et de clés SSL avec OpenSSL"

    Remarque La valeur du nom commun utilisée pour le certificat du serveur, le certificat client et les fichiers de clés doit être différente de la valeur du nom commun utilisée pour le certificat de l'autorité de certification. Si les valeurs de nom commun sont les mêmes, les fichiers de certificat et de clé échouent pour les serveurs compilés à l'aide d'OpenSSL.

    Meilleure pratique : vous devez utiliser le nom de domaine complet (FQDN) du serveur comme nom commun pour le certificat du serveur.

  2. Copiez les certificats SSL et les fichiers clés dans le dossier MySQL Data.

    Le chemin d'accès par défaut au dossier de données MySQL est C:\ProgramData\ NetApp\ SnapCenter\MySQL Data\Data\.

  3. Mettez à jour les chemins d'accès au certificat CA, au certificat public du serveur, au certificat public du client, à la clé privée du serveur et à la clé privée du client dans le fichier de configuration du serveur MySQL (my.ini).

    Le chemin d'accès par défaut du fichier de configuration du serveur MySQL (my.ini) est C:\ProgramData\ NetApp\ SnapCenter\MySQL Data\my.ini.

    Remarque Vous devez spécifier les chemins d'accès au certificat CA, au certificat public du serveur et à la clé privée du serveur dans la section [mysqld] du fichier de configuration du serveur MySQL (my.ini).

    Vous devez spécifier les chemins d'accès au certificat CA, au certificat public client et à la clé privée client dans la section [client] du fichier de configuration du serveur MySQL (my.ini).

    L'exemple suivant montre les certificats et les fichiers de clés copiés dans la section [mysqld] du fichier my.ini dans le dossier par défaut C:/ProgramData/ NetApp/ SnapCenter/MySQL Data/Data.

    ssl-ca="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/ca.pem"
    ssl-cert="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/server-cert.pem"
    ssl-key="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/server-key.pem"

    L'exemple suivant montre les chemins mis à jour dans la section [client] du fichier my.ini.

    ssl-ca="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/ca.pem"
    ssl-cert="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/client-cert.pem"
    ssl-key="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/client-key.pem"

  4. Pour le deuxième nœud HA, copiez le certificat CA et générez le certificat public du serveur, les fichiers de clé privée du serveur, le certificat public du client et les fichiers de clé privée du client. Procédez comme suit :

    1. Copiez le certificat CA généré sur le premier nœud HA dans le dossier MySQL Data du deuxième nœud NLB.

      Le chemin d'accès par défaut au dossier de données MySQL est C:\ProgramData\ NetApp\ SnapCenter\MySQL Data\Data\.

      Remarque Vous ne devez pas créer à nouveau un certificat CA. Vous devez créer uniquement le certificat public du serveur, le certificat public du client, le fichier de clé privée du serveur et le fichier de clé privée du client.

    2. Pour le premier nœud HA, configurez les certificats SSL et les fichiers de clés pour les serveurs et clients MySQL sous Windows à l'aide de la commande openssl.

      "MySQL version 5.7 : Création de certificats et de clés SSL avec OpenSSL"

      Remarque La valeur du nom commun utilisée pour le certificat du serveur, le certificat client et les fichiers de clés doit être différente de la valeur du nom commun utilisée pour le certificat de l'autorité de certification. Si les valeurs de nom commun sont les mêmes, les fichiers de certificat et de clé échouent pour les serveurs compilés à l'aide d'OpenSSL.

      Il est recommandé d'utiliser le nom de domaine complet du serveur comme nom commun pour le certificat du serveur.

    3. Copiez les certificats SSL et les fichiers clés dans le dossier MySQL Data.

    4. Mettez à jour les chemins d'accès au certificat CA, au certificat public du serveur, au certificat public du client, à la clé privée du serveur et à la clé privée du client dans le fichier de configuration du serveur MySQL (my.ini).

      Remarque Vous devez spécifier les chemins d'accès au certificat CA, au certificat public du serveur et à la clé privée du serveur dans la section [mysqld] du fichier de configuration du serveur MySQL (my.ini).

      Vous devez spécifier les chemins d'accès au certificat CA, au certificat public client et à la clé privée client dans la section [client] du fichier de configuration du serveur MySQL (my.ini).

      L'exemple suivant montre les certificats et les fichiers de clés copiés dans la section [mysqld] du fichier my.ini dans le dossier par défaut C:/ProgramData/ NetApp/ SnapCenter/MySQL Data/Data.

      ssl-ca="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/ca.pem"
      ssl-cert="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/server-cert.pem"
      ssl-key="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/server-key.pem"

      L'exemple suivant montre les chemins mis à jour dans la section [client] du fichier my.ini.

    ssl-ca="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/ca.pem"

    +

    ssl-cert="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/server-cert.pem"

    +

    ssl-key="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/server-key.pem"

  5. Arrêtez l’application Web SnapCenter Server dans Internet Information Server (IIS) sur les deux nœuds HA.

  6. Redémarrez le service MySQL sur les deux nœuds HA.

  7. Mettez à jour la valeur de la clé MySQLProtocol dans le fichier SnapManager.Web.UI.dll.config pour les deux nœuds HA.

    L'exemple suivant montre la valeur de la clé MySQLProtocol mise à jour dans le fichier SnapManager.Web.UI.dll.config.

    <add key="MySQLProtocol" value="SSL" />

  8. Mettez à jour le fichier SnapManager.Web.UI.dll.config avec les chemins que vous avez spécifiés dans la section [client] du fichier my.ini pour les deux nœuds HA.

    L'exemple suivant montre les chemins mis à jour dans la section [client] des fichiers my.ini.

    <add key="ssl-client-cert" value="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/client-cert.pem" />
    <add key="ssl-client-key" value="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/client-key.pem" />
    <add key="ssl-ca" value="C:/ProgramData/NetApp/SnapCenter/MySQL Data/Data/ca.pem" />

  9. Démarrez l’application Web SnapCenter Server dans IIS sur les deux nœuds HA.

  10. Utilisez l’applet de commande PowerShell Set-SmRepositoryConfig -RebuildSlave -Force avec l’option -Force sur l’un des nœuds HA pour établir une réplication MySQL sécurisée sur les deux nœuds HA.

    Même si l'état de réplication est sain, l'option -Force vous permet de reconstruire le référentiel esclave.