Skip to main content
SnapCenter software
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configurer le certificat CA pour le service SnapCenter SAP HANA Plug-ins sur l'hôte Linux

PDF

Vous devez gérer le mot de passe du magasin de clés des plug-ins et son certificat, configurer le certificat de l'autorité de certification, configurer les certificats racine ou intermédiaires dans le magasin de clés de confiance des plug-ins et configurer la paire de clés signée par l'autorité de certification dans le magasin de clés de confiance des plug-ins avec le service de plug-ins SnapCenter pour activer le certificat numérique installé.

Les plug-ins utilisent le fichier « keystore.jks », qui se trouve dans /opt/ NetApp/snapcenter/scc/etc à la fois comme magasin de confiance et comme magasin de clés.

Gérer le mot de passe du magasin de clés du plug-in et l'alias de la paire de clés signée par l'autorité de certification en cours d'utilisation

Étapes

  1. Vous pouvez récupérer le mot de passe par défaut du magasin de clés du plug-in à partir du fichier de propriétés de l'agent du plug-in.

    Il s'agit de la valeur correspondant à la clé 'KEYSTORE_PASS'.

  2. Modifier le mot de passe du keystore :

     keytool -storepasswd -keystore keystore.jks
. Modifiez le mot de passe de tous les alias des entrées de clés privées dans le magasin de clés avec le même mot de passe que celui utilisé pour le magasin de clés :
    keytool -keypasswd -alias "alias_name_in_cert" -keystore keystore.jks

    Mettez à jour la même chose pour la clé KEYSTORE_PASS dans le fichier agent.properties.

  3. Redémarrez le service après avoir modifié le mot de passe.

Remarque Le mot de passe du magasin de clés du plug-in et de tous les mots de passe d'alias associés à la clé privée doivent être identiques.

Configurer les certificats racine ou intermédiaires pour le plug-in trust-store

Vous devez configurer les certificats racine ou intermédiaires sans la clé privée pour connecter le trust-store.

Étapes

  1. Accédez au dossier contenant le keystore du plug-in : /opt/ NetApp/snapcenter/scc/etc.

  2. Localisez le fichier « keystore.jks ».

  3. Répertoriez les certificats ajoutés dans le keystore :

    keytool -list -v -keystore keystore.jks

  4. Ajouter un certificat racine ou intermédiaire :

     keytool -import -trustcacerts -alias myRootCA -file /root/USERTrustRSA_Root.cer -keystore keystore.jks
. Redémarrez le service après avoir configuré les certificats racine ou intermédiaires pour connecter le magasin de confiance.
Remarque Vous devez ajouter le certificat CA racine, puis les certificats CA intermédiaires.

Configurer la paire de clés signée par l'autorité de certification pour le plug-in trust-store

Vous devez configurer la paire de clés signée par l'autorité de certification dans le magasin de clés de confiance du plug-in.

Étapes

  1. Accédez au dossier contenant le keystore du plug-in /opt/ NetApp/snapcenter/scc/etc.

  2. Localisez le fichier « keystore.jks ».

  3. Répertoriez les certificats ajoutés dans le keystore :

    keytool -list -v -keystore keystore.jks

  4. Ajoutez le certificat CA contenant à la fois une clé privée et une clé publique.

    keytool -importkeystore -srckeystore /root/snapcenter.ssl.test.netapp.com.pfx -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS

  5. Répertoriez les certificats ajoutés dans le keystore.

    keytool -list -v -keystore keystore.jks

  6. Vérifiez que le magasin de clés contient l’alias correspondant au nouveau certificat CA, qui a été ajouté au magasin de clés.

  7. Remplacez le mot de passe de la clé privée ajoutée pour le certificat CA par le mot de passe du magasin de clés.

    Le mot de passe par défaut du magasin de clés du plug-in est la valeur de la clé KEYSTORE_PASS dans le fichier agent.properties.

     keytool -keypasswd -alias "alias_name_in_CA_cert" -keystore keystore.jks
. Si le nom d'alias dans le certificat CA est long et contient des espaces ou des caractères spéciaux (« * », « », « ), remplacez le nom d'alias par un nom simple :
     keytool -changealias -alias "long_alias_name" -destalias "simple_alias" -keystore keystore.jks
. Configurez le nom d’alias à partir du certificat CA dans le fichier agent.properties.

    Mettez à jour cette valeur par rapport à la clé SCC_CERTIFICATE_ALIAS.

  8. Redémarrez le service après avoir configuré la paire de clés signée par l'autorité de certification pour le plug-in trust-store.

Configurer la liste de révocation des certificats (CRL) pour les plug-ins

À propos de cette tâche

  • Les plug-ins SnapCenter rechercheront les fichiers CRL dans un répertoire préconfiguré.

  • Le répertoire par défaut des fichiers CRL pour les plug-ins SnapCenter est « opt/ NetApp/snapcenter/scc/etc/crl ».

Étapes

  1. Vous pouvez modifier et mettre à jour le répertoire par défaut dans le fichier agent.properties par rapport à la clé CRL_PATH.

    Vous pouvez placer plusieurs fichiers CRL dans ce répertoire. Les certificats entrants seront vérifiés par rapport à chaque CRL.