Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Gestione di ONTAP Mediator

Collaboratori netapp-sarajane netapp-aoife netapp-thomi netapp-dbagwell netapp-ranuk netapp-aaron-holt netapp-aherbin netapp-mwallis netapp-ahibbard thrisun
PDF

Gestire ONTAP Mediator, inclusa la modifica delle credenziali utente, l'interruzione e la riattivazione del servizio, la verifica del suo stato e l'installazione o la disinstallazione di SCST per la manutenzione dell'host. È inoltre possibile gestire i certificati, come la rigenerazione di certificati autofirmati, la loro sostituzione con certificati di terze parti attendibili e la risoluzione dei problemi relativi ai certificati.

Modificare il nome utente

È possibile modificare il nome utente utilizzando la seguente procedura.

A proposito di questa attività

Eseguire questa attività sull'host Linux su cui è installato ONTAP Mediator.

Se non si riesce a raggiungere questo comando, potrebbe essere necessario eseguire il comando utilizzando il percorso completo, come illustrato nell'esempio seguente:

/usr/local/bin/mediator_username

Fasi

Modificare il nome utente scegliendo una delle seguenti opzioni:

  • Opzione (a): Eseguire il comando mediator_change_user e rispondere alle richieste come mostrato nell'esempio seguente:

     [root@mediator-host ~]# mediator_change_user
 Modify the Mediator API username by entering the following values:
     Mediator API User Name: mediatoradmin
                   Password:
 New Mediator API User Name: mediator
 The account username has been modified successfully.
 [root@mediator-host ~]#

  • Opzione (b): Eseguire il seguente comando:

    MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD=mediator2 MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user

     [root@mediator-host ~]# MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD='mediator2' MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user
 The account username has been modified successfully.
 [root@mediator-host ~]#

Modificare la password

È possibile modificare la password utilizzando la seguente procedura.

A proposito di questa attività

Eseguire questa attività sull'host Linux su cui è installato ONTAP Mediator.

Se non si riesce a raggiungere questo comando, potrebbe essere necessario eseguire il comando utilizzando il percorso completo, come illustrato nell'esempio seguente:

/usr/local/bin/mediator_change_password

Fasi

Modificare la password scegliendo una delle seguenti opzioni:

  • Opzione (a): Eseguire mediator_change_password e rispondere ai prompt come mostrato nell'esempio seguente:

     [root@mediator-host ~]# mediator_change_password
 Change the Mediator API password by entering the following values:
    Mediator API User Name: mediatoradmin
              Old Password:
              New Password:
          Confirm Password:
 The password has been updated successfully.
 [root@mediator-host ~]#

  • Opzione (b): Eseguire il seguente comando:

    MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password

    L'esempio mostra che la password viene modificata da "mediator1" a "mediator2".

     [root@mediator-host ~]# MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password
 The password has been updated successfully.
 [root@mediator-host ~]#

Stop ONTAP Mediator

Per arrestare ONTAP Mediator, procedere come segue:

Fasi

  1. Interrompi il mediatore ONTAP:

    systemctl stop ontap_mediator

  2. Arresta SCST:

    systemctl stop mediator-scst

  3. Disabilitare ONTAP Mediator e SCST:

    systemctl diable ontap_mediator mediator-scst

Riattivare ONTAP Mediator

Per riattivare ONTAP Mediator, procedere come segue:

Fasi

  1. Abilita ONTAP Mediator e SCST:

    systemctl enable ontap_mediator mediator-scst

  2. Avvia SCST:

    systemctl start mediator-scst

  3. Avviare ONTAP Mediator:

    systemctl start ontap_mediator

Verificare che ONTAP Mediator sia integro

Dopo aver installato ONTAP Mediator, verificare che funzioni correttamente.

Fasi

  1. Visualizza lo stato del mediatore ONTAP:

    1. systemctl status ontap_mediator

      [root@scspr1915530002 ~]# systemctl status ontap_mediator

 ontap_mediator.service - ONTAP Mediator
Loaded: loaded (/etc/systemd/system/ontap_mediator.service; enabled; vendor preset: disabled)
Active: active (running) since Mon 2022-04-18 10:41:49 EDT; 1 weeks 0 days ago
Process: 286710 ExecStop=/bin/kill -s INT $MAINPID (code=exited, status=0/SUCCESS)
Main PID: 286712 (uwsgi)
Status: "uWSGI is ready"
Tasks: 3 (limit: 49473)
Memory: 139.2M
CGroup: /system.slice/ontap_mediator.service
      ├─286712 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
      ├─286716 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
      └─286717 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini

[root@scspr1915530002 ~]#

    2. systemctl status mediator-scst

      [root@scspr1915530002 ~]# systemctl status mediator-scst
   Loaded: loaded (/etc/systemd/system/mediator-scst.service; enabled; vendor preset: disabled)
   Active: active (running) since Mon 2022-04-18 10:41:47 EDT; 1 weeks 0 days ago
  Process: 286595 ExecStart=/etc/init.d/scst start (code=exited, status=0/SUCCESS)
 Main PID: 286662 (iscsi-scstd)
    Tasks: 1 (limit: 49473)
   Memory: 1.2M
   CGroup: /system.slice/mediator-scst.service
           └─286662 /usr/local/sbin/iscsi-scstd

[root@scspr1915530002 ~]#

  2. Conferma le porte utilizzate da ONTAP Mediator:

    netstat

    [root@scspr1905507001 ~]# netstat -anlt | grep -E '3260|31784'

         tcp   0   0 0.0.0.0:31784   0.0.0.0:*      LISTEN

         tcp   0   0 0.0.0.0:3260    0.0.0.0:*      LISTEN

         tcp6  0   0 :::3260         :::*           LISTEN

Eseguire la manutenzione dell'host

Se la VM che esegue ONTAP Mediator deve essere aggiornata con un kernel più recente, ciò potrebbe causare problemi di compatibilità con i moduli kernel SCST utilizzati da ONTAP Mediator. In questo scenario, NetApp consiglia di disinstallare e reinstallare manualmente SCST.

Passaggio 1: disinstallare manualmente SCST

Per disinstallare SCST, è necessario il pacchetto tar SCST utilizzato per la versione installata di ONTAP Mediator.

Fasi

  1. Scaricare il bundle SCST appropriato (come mostrato nella tabella seguente) ed estrarlo.

    Per questa versione …​

    USA questo bundle tar…​

    Mediatore ONTAP 1.10

    scst-3.9.tar.gz

    Mediatore ONTAP 1.9.1

    scst-3,8.0.tar.bz2

    ONTAP mediatore 1,9

    scst-3,8.0.tar.bz2

    ONTAP mediatore 1,8

    scst-3,8.0.tar.bz2

    ONTAP mediatore 1,7

    scst-3.7.0.tar.bz2

    Mediatore ONTAP 1.6

    scst-3.7.0.tar.bz2

    Mediatore ONTAP 1.5

    scst-3.6.0.tar.bz2

    Mediatore ONTAP 1.4

    scst-3.6.0.tar.bz2

    Mediatore ONTAP 1.3

    scst-3.5.0.tar.bz2

    Mediatore ONTAP 1.1

    scst-3.4.0.tar.bz2

    Mediatore ONTAP 1.0

    scst-3.3.0.tar.bz2

    1. Accedi al pacchetto open source da"Download di SCST Sourceforge" .

    2. Seleziona Scarica le versioni rilasciate.

    3. Estrarre il bundle nella macchina virtuale.

  2. Eseguire i seguenti comandi di disinstallazione in scst elenco:

    1. systemctl stop mediator-scst

    2. make scstadm_uninstall

    3. make iscsi_uninstall

    4. make usr_uninstall

    5. make scst_uninstall

    6. depmod

Passaggio 2: installare manualmente SCST

Per installare manualmente SCST, è necessario il bundle tar SCST utilizzato per la versione installata di ONTAP Mediator (vedereTabella SCST ).

Nota Eseguire questo passaggio prima di installare ONTAP Mediator. Se la versione SCST in uso è più recente della versione fornita con il programma di installazione ONTAP Mediator, il programma di installazione salta questo passaggio.

  1. Eseguire i seguenti comandi di installazione in scst elenco:

    1. make 2release

    2. make scst_install

    3. make usr_install

    4. make iscsi_install

    5. make scstadm_install

    6. depmod

      Nota

      Se stai eseguendo una prima installazione e desideri preinstallare ONTAP Mediator, esegui il seguente comando prima di procedere con il passaggio successivo:

      mkdir -p /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys

    7. cp scst/src/certs/scst_module_key.der /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/

    8. patch /etc/init.d/scst < /opt/netapp/lib/ontap_mediator/systemd/scst.patch

      Nota Se stai eseguendo un'installazione per la prima volta e desideri preinstallare SCST prima di installare ONTAP Mediator, puoi saltare questo passaggio. Durante l'installazione, il programma di installazione ONTAP Mediator applica tutte le patch rilevanti ai componenti SCST.

  2. Se, in alternativa, Secure Boot è attivato, prima di riavviare il computer, procedere come segue:

    1. Determinare ciascun nome di file per il scst_vdisk , scst , E iscsi_scst moduli:

      [root@localhost ~]# modinfo -n scst_vdisk
[root@localhost ~]# modinfo -n scst
[root@localhost ~]# modinfo -n iscsi_scst

    2. Determinare il rilascio del kernel:

      [root@localhost ~]# uname -r

    3. Firmare ogni file del modulo con il kernel:

      [root@localhost ~]# /usr/src/kernels/<KERNEL-RELEASE>/scripts/sign-file \sha256 \
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.priv \
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der \
_module-filename_

    4. Installare la chiave UEFI con il firmware.

      Le istruzioni per l'installazione della chiave UEFI sono disponibili all'indirizzo:

      /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/README.module-signing

      La chiave UEFI generata si trova in:

    /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der

  3. Riavviare il sistema:

    reboot

Disinstallare ONTAP Mediator

Se necessario, è possibile rimuovere ONTAP Mediator.

Prima di iniziare

Prima di rimuoverlo, è necessario scollegare ONTAP Mediator da ONTAP.

A proposito di questa attività

Eseguire questa attività sull'host Linux su cui è installato ONTAP Mediator.

Se non si riesce a raggiungere questo comando, potrebbe essere necessario eseguire il comando utilizzando il percorso completo, come illustrato nell'esempio seguente:

/usr/local/bin/uninstall_ontap_mediator

Fase

  1. Disinstallare ONTAP Mediator:

    uninstall_ontap_mediator

     [root@mediator-host ~]# uninstall_ontap_mediator

 ONTAP Mediator: Self Extracting Uninstaller

 + Removing ONTAP Mediator. (Log: /tmp/ontap_mediator.GmRGdA/uninstall_ontap_mediator/remove.log)
 + Remove successful.
 [root@mediator-host ~]#

Rigenerare un certificato autofirmato temporaneo

A partire da ONTAP Mediator 1,7, è possibile rigenerare un certificato autofirmato temporaneo utilizzando la seguente procedura.

Nota Questa procedura è supportata solo sui sistemi con ONTAP Mediator 1,7 o versione successiva.
A proposito di questa attività

  • Eseguire questa attività sull'host Linux su cui è installato ONTAP Mediator.

  • È possibile eseguire questa attività solo se i certificati autofirmati generati sono diventati obsoleti a causa di modifiche al nome host o all'indirizzo IP dell'host dopo l'installazione di ONTAP Mediator.

  • Dopo che il certificato autofirmato temporaneo è stato sostituito da un certificato di terze parti attendibile, non utilizzare questa attività per rigenerare un certificato. L'assenza di un certificato autofirmato causerà l'errore di questa procedura.

Fase

Per rigenerare un nuovo certificato autofirmato temporaneo per l'host corrente, attenersi alla seguente procedura:

  1. Riavviare ONTAP Mediator:

    ./make_self_signed_certs.sh overwrite

    [root@xyz000123456 ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
[root@xyz000123456 server_config]# ./make_self_signed_certs.sh overwrite

Adding Subject Alternative Names to the self-signed server certificate
#
# OpenSSL example configuration file.
Generating self-signed certificates
Generating RSA private key, 4096 bit long modulus (2 primes)
..................................................................................................................................................................++++
........................................................++++
e is 65537 (0x010001)
Generating a RSA private key
................................................++++
.............................................................................................................................................++++
writing new private key to 'ontap_mediator_server.key'
-----
Signature ok
subject=C = US, ST = California, L = San Jose, O = "NetApp, Inc.", OU = ONTAP Core Software, CN = ONTAP Mediator, emailAddress = support@netapp.com
Getting CA Private Key

Sostituire i certificati autofirmati con certificati di terze parti attendibili

Se supportati, è possibile sostituire i certificati autofirmati con certificati di terze parti attendibili.

Avvertenza

  • I certificati di terze parti sono supportati solo a partire da ONTAP 9.16,1 e in alcune versioni precedenti di patch di ONTAP. Vedere "ID bug online di NetApp CONTAP-243278".

  • I certificati di terze parti sono supportati solo sui sistemi che eseguono ONTAP Mediator 1,7 o versioni successive.
A proposito di questa attività

  • Eseguire questa attività sull'host Linux su cui è installato ONTAP Mediator.

  • È possibile eseguire questa attività se i certificati autofirmati generati devono essere sostituiti da certificati ottenuti da un'autorità di certificazione subordinata attendibile (CA). A tale scopo, è necessario disporre dell'accesso a un'autorità PKI (Public-Key Infrastructure) attendibile.

  • L'immagine seguente mostra le finalità di ciascun certificato ONTAP Mediator.

    Finalità del certificato ONTAP Mediator

  • L'immagine seguente mostra la configurazione per l'installazione del server Web e l'installazione di ONTAP Mediator.

    Configurazione del server Web e configurazione del mediatore ONTAP

Passaggio 1: Ottenere un certificato da una terza parte che emette un certificato CA

È possibile ottenere un certificato da un'autorità PKI utilizzando la seguente procedura.

Nell'esempio seguente viene illustrata la sostituzione degli attori certificati autofirmati con gli attori certificati di terze parti situati in /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/.

Nota

L'esempio illustra i criteri necessari per i certificati richiesti per ONTAP Mediator. È possibile ottenere i certificati da un'autorità PKI in modo diverso da questa procedura. Regolare la procedura in base alle esigenze aziendali.
ONTAP Mediator 1,9 e versioni successive

  1. Creare una chiave privata intermediate.key e un file di configurazione openssl_ca.cnf che verrà utilizzato dall'autorità PKI per generare un certificato.

    1. Generare la chiave privata intermediate.key :

      Esempio

    openssl genrsa -aes256 -out intermediate.key 4096

    1. Il file di configurazione openssl_ca.cnf (situato in /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf) definisce le proprietà che il certificato generato deve avere.

  2. Utilizzare la chiave privata e il file di configurazione per creare una richiesta di firma del certificato intermediate.csr:

    Esempio:

    openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf

    [root@scs000216655 server_config]# openssl req -key intermediate.key -new -config openssl_ca.cnf -out intermediate.csr
Enter pass phrase for intermediate.key:
[root@scs000216655 server_config]# cat intermediate.csr
-----BEGIN CERTIFICATE REQUEST-----
<certificate_value>
-----END CERTIFICATE REQUEST-----

  3. Inviare la richiesta di firma del certificato intermediate.csr a un'autorità PKI per la firma.

    L'autorità PKI verifica la richiesta e firma il , generando il .csr`certificato `intermediate.crt. Inoltre, è necessario ottenere il root_intermediate.crt certificato che ha firmato il intermediate.crt certificato dall'autorità PKI.

    Nota Per i cluster SnapMirror Business Continuity (SM-BC), è necessario aggiungere i intermediate.crt certificati e root_intermediate.crt a un cluster ONTAP. Vedere "Configurare ONTAP Mediator e cluster per SnapMirror ActiveSync".
ONTAP Mediator 1,8 e precedenti

  1. Creare una chiave privata ca.key e un file di configurazione openssl_ca.cnf che verrà utilizzato dall'autorità PKI per generare un certificato.

    1. Generare la chiave privata ca.key :

      Esempio

    openssl genrsa -aes256 -out ca.key 4096

    1. Il file di configurazione openssl_ca.cnf (situato in /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf) definisce le proprietà che il certificato generato deve avere.

  2. Utilizzare la chiave privata e il file di configurazione per creare una richiesta di firma del certificato ca.csr:

    Esempio:

    openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf

    [root@scs000216655 server_config]# openssl req -key ca.key -new -config openssl_ca.cnf -out ca.csr
Enter pass phrase for ca.key:
[root@scs000216655 server_config]# cat ca.csr
-----BEGIN CERTIFICATE REQUEST-----
<certificate_value>
-----END CERTIFICATE REQUEST-----

  3. Inviare la richiesta di firma del certificato ca.csr a un'autorità PKI per la firma.

    L'autorità PKI verifica la richiesta e firma il , generando il .csr`certificato `ca.crt. Inoltre, è necessario ottenere il root_ca.crt that signed the `ca.crt certificato dall'autorità PKI.

    Nota Per i cluster SnapMirror Business Continuity (SM-BC), è necessario aggiungere i ca.crt certificati e root_ca.crt a un cluster ONTAP. Vedere "Configurare ONTAP Mediator e cluster per SnapMirror ActiveSync".

Passaggio 2: Generare un certificato server firmando con una certificazione CA di terze parti

ONTAP Mediator 1,9 e versioni successive

Un certificato server deve essere firmato dalla chiave privata e dal intermediate.key certificato di terzi intermediate.crt . Inoltre, il file di configurazione /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf contiene alcuni attributi che specificano le proprietà richieste per i certificati server emessi da OpenSSL.

I seguenti comandi possono generare un certificato server.

Fasi

  1. Per generare una richiesta di firma del certificato del server (CSR), eseguire il comando seguente dalla /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config cartella:

    openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr

  2. Per generare un certificato server dal CSR, eseguire il seguente comando da /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config cartella:

    Nota Questi file sono stati ottenuti da un'autorità PKI. Se si utilizza un nome di certificato diverso, sostituire intermediate.crt e intermediate.key con i nomi file pertinenti.

    openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA intermediate.crt -CAkey intermediate.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt

    • L' -CAcreateserial`opzione viene utilizzata per generare i `intermediate.srl file.

ONTAP Mediator 1,8 e precedenti

Un certificato server deve essere firmato dalla chiave privata e dal ca.key certificato di terzi ca.crt . Inoltre, il file di configurazione /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf contiene alcuni attributi che specificano le proprietà richieste per i certificati server emessi da OpenSSL.

I seguenti comandi possono generare un certificato server.

Fasi

  1. Per generare una richiesta di firma del certificato del server (CSR), eseguire il comando seguente dalla /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config cartella:

    openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr

  2. Per generare un certificato server dal CSR, eseguire il seguente comando da /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config cartella:

    Nota Questi file sono stati ottenuti da un'autorità PKI. Se si utilizza un nome di certificato diverso, sostituire ca.crt e ca.key con i nomi file pertinenti.

    openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA ca.crt -CAkey ca.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt

    • L' -CAcreateserial`opzione viene utilizzata per generare i `ca.srl file.

Passaggio 3: Sostituzione del nuovo certificato CA di terze parti e del certificato server nella configurazione ONTAP Mediator

ONTAP Mediator 1,9 e versioni successive

La configurazione del certificato viene fornita a ONTAP Mediator nel file di configurazione situato in /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml . Il file include i seguenti attributi:

cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'

  • cert_path e. key_path sono variabili di certificato del server.

  • ca_cert_path, ca_key_path, e. ca_serial_path Sono variabili di certificato CA.

Fasi

  1. Sostituire tutti i intermediate.* file con i certificati di terze parti.

  2. Creare una catena di certificati da intermediate.crt e ontap_mediator_server.crt certificati:

    cat ontap_mediator_server.crt intermediate.crt > ontap_mediator_server_chain.crt

  3. Aggiornare il /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini file.

    Aggiornare i valori di mediator_cert, , mediator_key`e `ca_certificate:

    set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

    set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

    set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_intermediate.crt

    • Il mediator_cert valore è il percorso del ontap_mediator_server_chain.crt file.

    • Il mediator_key value è il percorso chiave nel ontap_mediator_server.crt file, che è ontap_mediator_server.key.

    • Il ca_certificate valore è il percorso del root_intermediate.crt file.

  4. Verificare che i seguenti attributi dei certificati appena generati siano impostati correttamente:

    • Proprietario del gruppo Linux: netapp:netapp

    • Autorizzazioni Linux: 600

  5. Riavviare ONTAP Mediator:

    systemctl restart ontap_mediator

ONTAP Mediator 1,8 e precedenti

La configurazione del certificato viene fornita a ONTAP Mediator nel file di configurazione situato in /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml . Il file include i seguenti attributi:

cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'

  • cert_path e. key_path sono variabili di certificato del server.

  • ca_cert_path, ca_key_path, e. ca_serial_path Sono variabili di certificato CA.

Fasi

  1. Sostituire tutti i ca.* file con i certificati di terze parti.

  2. Creare una catena di certificati da ca.crt e ontap_mediator_server.crt certificati:

    cat ontap_mediator_server.crt ca.crt > ontap_mediator_server_chain.crt

  3. Aggiornare il /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini file.

    Aggiornare i valori di mediator_cert, , mediator_key`e `ca_certificate:

    set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

    set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

    set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_ca.crt

    • Il mediator_cert valore è il percorso del ontap_mediator_server_chain.crt file.

    • Il mediator_key value è il percorso chiave nel ontap_mediator_server.crt file, che è ontap_mediator_server.key.

    • Il ca_certificate valore è il percorso del root_ca.crt file.

  4. Verificare che i seguenti attributi dei certificati appena generati siano impostati correttamente:

    • Proprietario del gruppo Linux: netapp:netapp

    • Autorizzazioni Linux: 600

  5. Riavviare ONTAP Mediator:

    systemctl restart ontap_mediator

Passaggio 4: Se si desidera, utilizzare un percorso o un nome diverso per i certificati di terze parti

ONTAP Mediator 1,9 e versioni successive

È possibile utilizzare certificati di terze parti con un nome diverso da intermediate.* o memorizzare i certificati di terze parti in una posizione diversa.

Fasi

  1. Configurare il /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml file in modo che sovrascriva i valori della variabile di default nel ontap_mediator.config.yaml file.

    Se si è ottenuto intermediate.crt da un'autorità PKI e si memorizza la propria chiave privata intermediate.key nella posizione /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config, il ontap_mediator.user_config.yaml file dovrebbe essere simile al seguente esempio:

    Nota Se si è utilizzato intermediate.crt per firmare il ontap_mediator_server.crt certificato, il intermediate.srl file viene generato. Per ulteriori informazioni, vedere Passaggio 2: Generare un certificato server firmando con una certificazione CA di terze parti . 
    [root@scs000216655 server_config]# cat  ontap_mediator.user_config.yaml

# This config file can be used to override the default settings in ontap_mediator.config.yaml
# To override a setting, copy the property key from ontap_mediator.config.yaml to this file and
# set the property to the desired value. e.g.,
#
# The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml
#
# To override this value with 6 mailboxes per target, add the following key/value pair
# below this comment:
#
# 'default_mailboxes_per_target': 6
#
cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'

    1. Se si utilizza una struttura di certificato in cui il root_intermediate.crt certificato fornisce un intermediate.crt certificato che firma il ontap_mediator_server.crt certificato, creare una catena di certificati da intermediate.crt e ontap_mediator_server.crt certificati:

      Nota I certificati e dovrebbero essere stati ottenuti intermediate.crt ontap_mediator_server.crt da un'autorità PKI precedentemente nella procedura.

      cat ontap_mediator_server.crt intermediate.crt > ontap_mediator_server_chain.crt

    2. Aggiornare il /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini file.

      Aggiornare i valori di mediator_cert, , mediator_key`e `ca_certificate:

      set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

      set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

      set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_intermediate.crt

      • Il mediator_cert valore è il percorso del ontap_mediator_server_chain.crt file.

      • Il mediator_key valore è il percorso chiave nel ontap_mediator_server.crt file, che è ontap_mediator_server.key.

      • Il ca_certificate valore è il percorso del root_intermediate.crt file.

        Nota Per i cluster SnapMirror Business Continuity (SM-BC), è necessario aggiungere i intermediate.crt certificati e root_intermediate.crt a un cluster ONTAP. Vedere "Configurare ONTAP Mediator e cluster per SnapMirror ActiveSync".

    3. Verificare che i seguenti attributi dei certificati appena generati siano impostati correttamente:

      • Proprietario del gruppo Linux: netapp:netapp

      • Autorizzazioni Linux: 600

  2. Riavviare ONTAP Mediator quando i certificati vengono aggiornati nel file di configurazione:

    systemctl restart ontap_mediator

ONTAP Mediator 1,8 e precedenti

È possibile utilizzare certificati di terze parti con un nome diverso da ca.* o memorizzare i certificati di terze parti in una posizione diversa.

Fasi

  1. Configurare il /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml file in modo che sovrascriva i valori della variabile di default nel ontap_mediator.config.yaml file.

    Se si è ottenuto ca.crt da un'autorità PKI e si memorizza la propria chiave privata ca.key nella posizione /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config, il ontap_mediator.user_config.yaml file dovrebbe essere simile al seguente esempio:

    Nota Se si è utilizzato ca.crt per firmare il ontap_mediator_server.crt certificato, il ca.srl file viene generato. Per ulteriori informazioni, vedere Passaggio 2: Generare un certificato server firmando con una certificazione CA di terze parti . 
    [root@scs000216655 server_config]# cat  ontap_mediator.user_config.yaml

# This config file can be used to override the default settings in ontap_mediator.config.yaml
# To override a setting, copy the property key from ontap_mediator.config.yaml to this file and
# set the property to the desired value. e.g.,
#
# The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml
#
# To override this value with 6 mailboxes per target, add the following key/value pair
# below this comment:
#
# 'default_mailboxes_per_target': 6
#
cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'

    1. Se si utilizza una struttura di certificato in cui il root_ca.crt certificato fornisce un ca.crt certificato che firma il ontap_mediator_server.crt certificato, creare una catena di certificati da ca.crt e ontap_mediator_server.crt certificati:

      Nota I certificati e dovrebbero essere stati ottenuti ca.crt ontap_mediator_server.crt da un'autorità PKI precedentemente nella procedura.

      cat ontap_mediator_server.crt ca.crt > ontap_mediator_server_chain.crt

    2. Aggiornare il /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini file.

      Aggiornare i valori di mediator_cert, , mediator_key`e `ca_certificate:

      set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

      set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

      set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_ca.crt

      • Il mediator_cert valore è il percorso del ontap_mediator_server_chain.crt file.

      • Il mediator_key valore è il percorso chiave nel ontap_mediator_server.crt file, che è ontap_mediator_server.key.

      • Il ca_certificate valore è il percorso del root_ca.crt file.

        Nota Per i cluster SnapMirror Business Continuity (SM-BC), è necessario aggiungere i ca.crt certificati e root_ca.crt a un cluster ONTAP. Vedere "Configurare ONTAP Mediator e cluster per SnapMirror ActiveSync".

    3. Verificare che i seguenti attributi dei certificati appena generati siano impostati correttamente:

      • Proprietario del gruppo Linux: netapp:netapp

      • Autorizzazioni Linux: 600

  2. Riavviare ONTAP Mediator quando i certificati vengono aggiornati nel file di configurazione:

    systemctl restart ontap_mediator

Risolvere i problemi relativi ai certificati

È possibile controllare determinate proprietà dei certificati.

Verificare la scadenza del certificato

Utilizzare il seguente comando per identificare l'intervallo di validità del certificato.

ONTAP Mediator 1,9 e versioni successive
[root@mediator_host server_config]# openssl x509 -in intermediate.crt -text -noout
Certificate:
    Data:
...
        Validity
            Not Before: Feb 22 19:57:25 2024 GMT
            Not After : Feb 15 19:57:25 2029 GMT
ONTAP Mediator 1,8 e precedenti
[root@mediator_host server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...
        Validity
            Not Before: Feb 22 19:57:25 2024 GMT
            Not After : Feb 15 19:57:25 2029 GMT

Verificare le estensioni X509v3 nella certificazione CA

Utilizzare il seguente comando per verificare le estensioni X509v3 nella certificazione CA.

ONTAP Mediator 1,9 e versioni successive

Le proprietà definite v3_ca in openssl_ca.cnf vengono visualizzate come X509v3 extensions in intermediate.crt.

[root@mediator_host server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@mediator_host server_config]# cat openssl_ca.cnf
...
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, cRLSign, digitalSignature, keyCertSign

[root@mediator_host server_config]# openssl x509 -in intermediate.crt -text -noout
Certificate:
    Data:
...
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
            X509v3 Authority Key Identifier:
                keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27

            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign
ONTAP Mediator 1,8 e precedenti

Le proprietà definite v3_ca in openssl_ca.cnf vengono visualizzate come X509v3 extensions in ca.crt.

[root@mediator_host server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@mediator_host server_config]# cat openssl_ca.cnf
...
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, cRLSign, digitalSignature, keyCertSign

[root@mediator_host server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
            X509v3 Authority Key Identifier:
                keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27

            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign

Verificare le estensioni X509v3 nel certificato del server e nei nomi Alt del soggetto

Il v3_req proprietà definite nella openssl_server.cnf il file di configurazione viene visualizzato come X509v3 extensions nel certificato.

Nell'esempio seguente, è possibile ottenere le variabili in alt_names sezioni eseguendo i comandi hostname -A E hostname -I sulla VM Linux su cui è installato ONTAP Mediator.

Rivolgersi all'amministratore di rete per i valori corretti delle variabili.

ONTAP Mediator 1,9 e versioni successive
[root@mediator_host server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@mediator_host server_config]# cat openssl_server.cnf
...
[ v3_req ]
basicConstraints       = CA:false
extendedKeyUsage       = serverAuth
keyUsage               = keyEncipherment, dataEncipherment
subjectAltName         = @alt_names

[ alt_names ]
DNS.1 = abc.company.com
DNS.2 = abc-v6.company.com
IP.1 = 1.2.3.4
IP.2 = abcd:abcd:abcd:abcd:abcd:abcd

[root@mediator_host server_config]# openssl x509 -in intermediate.crt -text -noout
Certificate:
    Data:
...

        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Key Usage:
                Key Encipherment, Data Encipherment
            X509v3 Subject Alternative Name:
                DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd
ONTAP Mediator 1,8 e precedenti
[root@mediator_host server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@mediator_host server_config]# cat openssl_server.cnf
...
[ v3_req ]
basicConstraints       = CA:false
extendedKeyUsage       = serverAuth
keyUsage               = keyEncipherment, dataEncipherment
subjectAltName         = @alt_names

[ alt_names ]
DNS.1 = abc.company.com
DNS.2 = abc-v6.company.com
IP.1 = 1.2.3.4
IP.2 = abcd:abcd:abcd:abcd:abcd:abcd

[root@mediator_host server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...

        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Key Usage:
                Key Encipherment, Data Encipherment
            X509v3 Subject Alternative Name:
                DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd

Verificare che una chiave privata corrisponda a un certificato

È possibile verificare se una particolare chiave privata corrisponde a un certificato.

Utilizzare i seguenti comandi OpenSSL rispettivamente sulla chiave e sul certificato.

ONTAP Mediator 1,9 e versioni successive
[root@mediator_host server_config]# openssl rsa -noout -modulus -in intermediate.key | openssl md5
Enter pass phrase for intermediate.key:
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
[root@mediator_host server_config]# openssl x509 -noout -modulus -in intermediate.crt | openssl md5
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
ONTAP Mediator 1,8 e precedenti
[root@mediator_host server_config]# openssl rsa -noout -modulus -in ca.key | openssl md5
Enter pass phrase for ca.key:
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
[root@mediator_host server_config]# openssl x509 -noout -modulus -in ca.crt | openssl md5
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc

Se il -modulus attributo per entrambe le corrispondenze, indica che la chiave privata e la coppia di certificati sono compatibili e possono funzionare l'una con l'altra.

Verificare che un certificato server sia stato creato da un determinato certificato CA

È possibile utilizzare il comando seguente per verificare che il certificato del server venga creato da un determinato certificato CA.

ONTAP Mediator 1,9 e versioni successive
[root@mediator_host server_config]# openssl verify -CAfile root_ca.crt --untrusted intermediate.crt ontap_mediator_server.crt
ontap_mediator_server.crt: OK
[root@mediator_host server_config]#
ONTAP Mediator 1,8 e precedenti
[root@mediator_host server_config]# openssl verify -CAfile ca.crt ontap_mediator_server.crt
ontap_mediator_server.crt: OK

Se viene utilizzata la convalida OCSP (Online Certificate Status Protocol), utilizzare il comando "openssl-verify".