Skip to main content
SnapCenter software
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configurer la communication SSL bidirectionnelle sur l'hôte Linux

PDF

Vous devez configurer la communication SSL bidirectionnelle pour sécuriser la communication mutuelle entre SnapCenter Server sur l'hôte Linux et les plug-ins.

Avant de commencer

  • Vous devez avoir configuré le certificat CA pour l'hôte Linux.

  • Vous devez avoir activé la communication SSL bidirectionnelle sur tous les hôtes de plug-in et sur le serveur SnapCenter .

Étapes

  1. Copiez certificate.pem dans /etc/pki/ca-trust/source/anchors/.

  2. Ajoutez les certificats dans la liste de confiance de votre hôte Linux.

    • cp root-ca.pem /etc/pki/ca-trust/source/anchors/

    • cp certificate.pem /etc/pki/ca-trust/source/anchors/

    • update-ca-trust extract

  3. Vérifiez si les certificats ont été ajoutés à la liste de confiance. trust list | grep "<CN of your certificate>"

  4. Mettez à jour ssl_certificate et ssl_certificate_key dans le fichier nginx de SnapCenter et redémarrez.

    • vim /etc/nginx/conf.d/snapcenter.conf

    • systemctl restart nginx

  5. Actualisez le lien de l’interface graphique du serveur SnapCenter .

  6. Mettez à jour les valeurs des clés suivantes dans * SnapManager.Web.UI.dll.config* situé dans _ /<chemin d'installation>/ NetApp/snapcenter/SnapManagerWeb_ et SMCoreServiceHost.dll.config situé dans /<chemin d'installation>/ NetApp/snapcenter/SMCore.

    • <add key="SERVICE_CERTIFICATE_PATH" value="<chemin du certificat.pfx>" />

    • <add key="SERVICE_CERTIFICATE_PASSWORD" value="<mot de passe>"/>

  7. Redémarrez les services suivants.

    • systemctl restart smcore.service

    • systemctl restart snapmanagerweb.service

  8. Vérifiez que le certificat est attaché au port Web SnapManager . openssl s_client -connect localhost:8146 -brief

  9. Vérifiez que le certificat est attaché au port smcore. openssl s_client -connect localhost:8145 -brief

  10. Gérer le mot de passe pour le keystore et l'alias SPL.

    1. Récupérer le mot de passe par défaut du magasin de clés SPL attribué à la clé SPL_KEYSTORE_PASS dans le fichier de propriétés SPL.

    2. Modifiez le mot de passe du keystore. keytool -storepasswd -keystore keystore.jks

    3. Modifiez le mot de passe de tous les alias des entrées de clé privée. keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks

    4. Mettez à jour le même mot de passe pour la clé SPL_KEYSTORE_PASS dans spl.properties.

    5. Redémarrez le service.

  11. Sur l'hôte Linux du plug-in, ajoutez les certificats racine et intermédiaires dans le magasin de clés du plug-in SPL.

    • keytool -import -trustcacerts -alias <any preferred alias name> -file <path of root-ca.pem> -keystore <path of keystore.jks mentioned in spl.properties file>

    • keytool -importkeystore -srckeystore <path of certificate.pfx> -srcstoretype pkcs12 -destkeystore <path of keystore.jks mentioned in spl.properties file> -deststoretype JKS

      1. Vérifiez les entrées dans keystore.jks. keytool -list -v -keystore <path to keystore.jks>

      2. Renommez n'importe quel alias si nécessaire. keytool -changealias -alias "old-alias" -destalias "new-alias" -keypass keypass -keystore </path/to/keystore> -storepass storepas

  12. Mettez à jour la valeur de SPL_CERTIFICATE_ALIAS dans le fichier spl.properties avec l'alias de certificate.pfx stocké dans keystore.jks et redémarrez le service SPL : systemctl restart spl

  13. Vérifiez que le certificat est attaché au port smcore. openssl s_client -connect localhost:8145 -brief