Skip to main content
SnapCenter software
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configurer l'authentification basée sur les certificats

PDF

L'authentification basée sur des certificats améliore la sécurité en vérifiant l'identité du serveur SnapCenter et des hôtes du plug-in, garantissant ainsi une communication sécurisée et cryptée.

Activer l'authentification basée sur les certificats

Pour activer l’authentification basée sur les certificats pour SnapCenter Server et les hôtes de plug-in Windows, exécutez l’applet de commande PowerShell suivante. Pour les hôtes de plug-in Linux, l’authentification basée sur un certificat sera activée lorsque vous activez le SSL bidirectionnel.

  • Pour activer l’authentification basée sur le certificat client :

    Set-SmConfigSettings -Agent –configSettings @{"EnableClientCertificateAuthentication"="true"} -HostName[hostname]

  • Pour désactiver l’authentification basée sur le certificat client :

    Set-SmConfigSettings -Agent –configSettings @{"EnableClientCertificateAuthentication"="false"} -HostName [hostname]`

Exporter les certificats d'autorité de certification (CA) depuis SnapCenter Server

Vous devez exporter les certificats CA du serveur SnapCenter vers les hôtes du plug-in à l'aide de la console de gestion Microsoft (MMC).

Avant de commencer

Vous devriez avoir configuré le SSL bidirectionnel.

Mesures

  1. Accédez à la console de gestion Microsoft (MMC), puis cliquez sur Fichier > Ajouter/Supprimer un composant logiciel enfichable.

  2. Dans la fenêtre Ajouter ou supprimer des composants logiciels enfichables, sélectionnez Certificats, puis cliquez sur Ajouter.

  3. Dans la fenêtre du composant logiciel enfichable Certificats, sélectionnez l’option Compte d’ordinateur, puis cliquez sur Terminer.

  4. Cliquez sur Racine de la console > Certificats - Ordinateur local > Personnel > Certificats.

  5. Cliquez avec le bouton droit sur le certificat CA obtenu, qui est utilisé pour SnapCenter Server, puis sélectionnez Toutes les tâches > Exporter pour démarrer l'assistant d'exportation.

  6. Effectuez les actions suivantes dans l’assistant.

Pour cette option…​ Procédez comme suit…​

Exporter la clé privée

Sélectionnez Non, ne pas exporter la clé privée, puis cliquez sur Suivant.

Format du fichier d'exportation

Cliquez sur Suivant.

Nom de fichier

Cliquez sur Parcourir et spécifiez le chemin du fichier pour enregistrer le certificat, puis cliquez sur Suivant.

Terminer l'assistant d'exportation de certificat

Consultez le résumé, puis cliquez sur Terminer pour démarrer l’exportation.
Remarque L'authentification basée sur les certificats n'est pas prise en charge pour les configurations SnapCenter HA et SnapCenter Plug-in for VMware vSphere.

Importer le certificat CA vers les hôtes du plug-in Windows

Pour utiliser le certificat d'autorité de certification SnapCenter Server exporté, vous devez importer le certificat associé sur les hôtes du plug-in SnapCenter Windows à l'aide de la console de gestion Microsoft (MMC).

Mesures

  1. Accédez à la console de gestion Microsoft (MMC), puis cliquez sur Fichier > Ajouter/Supprimer un composant logiciel enfichable.

  2. Dans la fenêtre Ajouter ou supprimer des composants logiciels enfichables, sélectionnez Certificats, puis cliquez sur Ajouter.

  3. Dans la fenêtre du composant logiciel enfichable Certificats, sélectionnez l’option Compte d’ordinateur, puis cliquez sur Terminer.

  4. Cliquez sur Racine de la console > Certificats - Ordinateur local > Personnel > Certificats.

  5. Faites un clic droit sur le dossier « Personnel », puis sélectionnez Toutes les tâches > Importer pour démarrer l’assistant d’importation.

  6. Effectuez les actions suivantes dans l’assistant.

Pour cette option…​ Procédez comme suit…​

Emplacement du magasin

Cliquez sur Suivant.

Fichier à importer

Sélectionnez le certificat SnapCenter Server qui se termine par l’extension .cer.

Magasin de certificats

Cliquez sur Suivant.

Terminer l'assistant d'exportation de certificat

Consultez le résumé, puis cliquez sur Terminer pour démarrer l’importation.

Importer le certificat CA vers les hôtes du plug-in UNIX

Vous devez importer le certificat CA sur les hôtes du plug-in UNIX.

À propos de cette tâche

  • Vous pouvez gérer le mot de passe du magasin de clés SPL et l'alias de la paire de clés signée par l'autorité de certification en cours d'utilisation.

  • Le mot de passe du keystore SPL et de tous les mots de passe d'alias associés à la clé privée doivent être identiques.

Mesures

  1. Vous pouvez récupérer le mot de passe par défaut du magasin de clés SPL à partir du fichier de propriétés SPL. C'est la valeur correspondant à la clé SPL_KEYSTORE_PASS .

  2. Modifier le mot de passe du keystore : $ keytool -storepasswd -keystore keystore.jks

  3. Modifiez le mot de passe de tous les alias des entrées de clés privées dans le magasin de clés avec le même mot de passe que celui utilisé pour le magasin de clés : $ keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks

  4. Mettez à jour la même chose pour la clé SPL_KEYSTORE_PASS dans spl.properties` déposer.

  5. Redémarrez le service après avoir modifié le mot de passe.

Configurer les certificats racine ou intermédiaires dans le magasin de confiance SPL

Vous devez configurer les certificats racine ou intermédiaires sur le magasin de confiance SPL. Vous devez ajouter le certificat CA racine, puis les certificats CA intermédiaires.

Mesures

  1. Accédez au dossier contenant le keystore SPL : /var/opt/snapcenter/spl/etc .

  2. Localiser le fichier keystore.jks .

  3. Répertoriez les certificats ajoutés dans le keystore : $ keytool -list -v -keystore keystore.jks

  4. Ajouter un certificat racine ou intermédiaire : $ keytool -import -trustcacerts -alias <AliasNameForCerticateToBeImported> -file /<CertificatePath> -keystore keystore.jks

  5. Redémarrez le service après avoir configuré les certificats racine ou intermédiaires dans le magasin de confiance SPL.

Configurer la paire de clés signée par l'autorité de certification pour le magasin de confiance SPL

Vous devez configurer la paire de clés signée par l'autorité de certification sur le magasin de confiance SPL.

Mesures

  1. Accédez au dossier contenant le keystore du SPL /var/opt/snapcenter/spl/etc .

  2. Localiser le fichier keystore.jks` .

  3. Répertoriez les certificats ajoutés dans le keystore : $ keytool -list -v -keystore keystore.jks

  4. Ajoutez le certificat CA contenant à la fois une clé privée et une clé publique. $ keytool -importkeystore -srckeystore <CertificatePathToImport> -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS

  5. Répertoriez les certificats ajoutés dans le keystore. $ keytool -list -v -keystore keystore.jks

  6. Vérifiez que le magasin de clés contient l’alias correspondant au nouveau certificat CA, qui a été ajouté au magasin de clés.

  7. Remplacez le mot de passe de la clé privée ajoutée pour le certificat CA par le mot de passe du magasin de clés.

    Le mot de passe par défaut du keystore SPL est la valeur de la clé SPL_KEYSTORE_PASS dans spl.properties déposer.

    $ keytool -keypasswd -alias "<aliasNameOfAddedCertInKeystore>" -keystore keystore.jks`

  8. Si le nom d'alias dans le certificat CA est long et contient des espaces ou des caractères spéciaux (« * », « », « ), remplacez le nom d'alias par un nom simple : $ keytool -changealias -alias "<OrignalAliasName>" -destalias "<NewAliasName>" -keystore keystore.jks`

  9. Configurez le nom d'alias à partir du keystore situé dans spl.properties déposer. Mettez à jour cette valeur par rapport à la clé SPL_CERTIFICATE_ALIAS.

  10. Redémarrez le service après avoir configuré la paire de clés signée par l'autorité de certification sur le magasin de confiance SPL.

Exporter les certificats SnapCenter

Vous devez exporter les certificats SnapCenter au format .pfx.

Mesures

  1. Accédez à la console de gestion Microsoft (MMC), puis cliquez sur Fichier > Ajouter/Supprimer un composant logiciel enfichable.

  2. Dans la fenêtre Ajouter ou supprimer des composants logiciels enfichables, sélectionnez Certificats, puis cliquez sur Ajouter.

  3. Dans la fenêtre du composant logiciel enfichable Certificats, sélectionnez l’option Mon compte utilisateur, puis cliquez sur Terminer.

  4. Cliquez sur Racine de la console > Certificats - Utilisateur actuel > Autorités de certification racines de confiance > Certificats.

  5. Cliquez avec le bouton droit sur le certificat portant le nom convivial SnapCenter , puis sélectionnez Toutes les tâches > Exporter pour démarrer l'assistant d'exportation.

  6. Complétez l’assistant comme suit :

    Dans cette fenêtre de l'assistant…​ Procédez comme suit…​

    Exporter la clé privée

    Sélectionnez l’option Oui, exporter la clé privée, puis cliquez sur Suivant.

    Format du fichier d'exportation

    N'effectuez aucune modification ; cliquez sur Suivant.

    Sécurité

    Spécifiez le nouveau mot de passe à utiliser pour le certificat exporté, puis cliquez sur Suivant.

    Fichier à exporter

    Spécifiez un nom de fichier pour le certificat exporté (vous devez utiliser .pfx), puis cliquez sur Suivant.

    Terminer l'assistant d'exportation de certificat

    Consultez le résumé, puis cliquez sur Terminer pour démarrer l’exportation.