Gestire il servizio ONTAP mediator
Gestire il servizio ONTAP Mediator, inclusa la modifica delle credenziali utente, l'interruzione e la riattivazione del servizio, la verifica dello stato e l'installazione o la disinstallazione di SCST per la manutenzione dell'host. È inoltre possibile gestire i certificati, come la rigenerazione di certificati autofirmati, la loro sostituzione con certificati di terze parti attendibili e la risoluzione dei problemi relativi ai certificati.
Modificare il nome utente
È possibile modificare il nome utente utilizzando la seguente procedura.
Eseguire questa attività sull'host Linux su cui è installato il servizio ONTAP Mediator.
Se non si riesce a raggiungere questo comando, potrebbe essere necessario eseguire il comando utilizzando il percorso completo, come illustrato nell'esempio seguente:
/usr/local/bin/mediator_username
Modificare il nome utente scegliendo una delle seguenti opzioni:
-
Opzione (a): Eseguire il comando
mediator_change_user
e rispondere alle richieste come mostrato nell'esempio seguente:[root@mediator-host ~]# mediator_change_user Modify the Mediator API username by entering the following values: Mediator API User Name: mediatoradmin Password: New Mediator API User Name: mediator The account username has been modified successfully. [root@mediator-host ~]#
-
Opzione (b): Eseguire il seguente comando:
MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD=mediator2 MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user
[root@mediator-host ~]# MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD='mediator2' MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user The account username has been modified successfully. [root@mediator-host ~]#
Modificare la password
È possibile modificare la password utilizzando la seguente procedura.
Eseguire questa attività sull'host Linux su cui è installato il servizio ONTAP Mediator.
Se non si riesce a raggiungere questo comando, potrebbe essere necessario eseguire il comando utilizzando il percorso completo, come illustrato nell'esempio seguente:
/usr/local/bin/mediator_change_password
Modificare la password scegliendo una delle seguenti opzioni:
-
Opzione (a): Eseguire
mediator_change_password
e rispondere ai prompt come mostrato nell'esempio seguente:[root@mediator-host ~]# mediator_change_password Change the Mediator API password by entering the following values: Mediator API User Name: mediatoradmin Old Password: New Password: Confirm Password: The password has been updated successfully. [root@mediator-host ~]#
-
Opzione (b): Eseguire il seguente comando:
MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password
L'esempio mostra che la password viene modificata da "mediator1" a "mediator2".
[root@mediator-host ~]# MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password The password has been updated successfully. [root@mediator-host ~]#
Arrestare il servizio di supporto ONTAP
Per interrompere il servizio ONTAP Mediator, attenersi alla seguente procedura:
-
Arrestare il mediatore ONTAP:
systemctl stop ontap_mediator
-
Arresta SCST:
systemctl stop mediator-scst
-
Disattivare ONTAP Mediator e SCST:
systemctl diable ontap_mediator mediator-scst
Riattivare il servizio di supporto ONTAP
Per riattivare il servizio ONTAP Mediator, attenersi alla seguente procedura:
-
Attivare ONTAP Mediator e SCST:
systemctl enable ontap_mediator mediator-scst
-
Avvia SCST:
systemctl start mediator-scst
-
Avviare ONTAP Mediator:
systemctl start ontap_mediator
Verificare che il mediatore ONTAP sia in buone condizioni
Una volta installato il mediatore ONTAP, verificare che i servizi del mediatore ONTAP siano in esecuzione.
-
Visualizza lo stato dei servizi di supporto ONTAP:
-
systemctl status ontap_mediator
[root@scspr1915530002 ~]# systemctl status ontap_mediator ontap_mediator.service - ONTAP Mediator Loaded: loaded (/etc/systemd/system/ontap_mediator.service; enabled; vendor preset: disabled) Active: active (running) since Mon 2022-04-18 10:41:49 EDT; 1 weeks 0 days ago Process: 286710 ExecStop=/bin/kill -s INT $MAINPID (code=exited, status=0/SUCCESS) Main PID: 286712 (uwsgi) Status: "uWSGI is ready" Tasks: 3 (limit: 49473) Memory: 139.2M CGroup: /system.slice/ontap_mediator.service ├─286712 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini ├─286716 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini └─286717 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini [root@scspr1915530002 ~]#
-
systemctl status mediator-scst
[root@scspr1915530002 ~]# systemctl status mediator-scst Loaded: loaded (/etc/systemd/system/mediator-scst.service; enabled; vendor preset: disabled) Active: active (running) since Mon 2022-04-18 10:41:47 EDT; 1 weeks 0 days ago Process: 286595 ExecStart=/etc/init.d/scst start (code=exited, status=0/SUCCESS) Main PID: 286662 (iscsi-scstd) Tasks: 1 (limit: 49473) Memory: 1.2M CGroup: /system.slice/mediator-scst.service └─286662 /usr/local/sbin/iscsi-scstd [root@scspr1915530002 ~]#
-
-
Verificare le porte utilizzate dal servizio di supporto ONTAP:
netstat
[root@scspr1905507001 ~]# netstat -anlt | grep -E '3260|31784' tcp 0 0 0.0.0.0:31784 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:3260 0.0.0.0:* LISTEN tcp6 0 0 :::3260 :::* LISTEN
Disinstallare manualmente SCST per eseguire la manutenzione dell'host
Per disinstallare SCST, è necessario il pacchetto tar SCST utilizzato per la versione installata di ONTAP Mediator.
-
Scaricare il pacchetto SCST appropriato (come mostrato nella tabella seguente) e scaricarlo.
Per questa versione …
USA questo bundle tar…
ONTAP mediatore 1,9
scst-3,8.0.tar.bz2
ONTAP mediatore 1,8
scst-3,8.0.tar.bz2
ONTAP mediatore 1,7
scst-3.7.0.tar.bz2
Mediatore ONTAP 1.6
scst-3.7.0.tar.bz2
Mediatore ONTAP 1.5
scst-3.6.0.tar.bz2
Mediatore ONTAP 1.4
scst-3.6.0.tar.bz2
Mediatore ONTAP 1.3
scst-3.5.0.tar.bz2
Mediatore ONTAP 1.1
scst-3.4.0.tar.bz2
Mediatore ONTAP 1.0
scst-3.3.0.tar.bz2
-
Eseguire i seguenti comandi nella directory "scst":
-
systemctl stop mediator-scst
-
make scstadm_uninstall
-
make iscsi_uninstall
-
make usr_uninstall
-
make scst_uninstall
-
depmod
-
Installare manualmente SCST per eseguire la manutenzione dell'host
Per installare manualmente SCST, è necessario disporre del pacchetto tar SCST utilizzato per la versione installata di ONTAP Mediator (vedere la tabella precedente).
-
Eseguire i seguenti comandi nella directory "scst":
-
make 2release
-
make scst_install
-
make usr_install
-
make iscsi_install
-
make scstadm_install
-
depmod
-
cp scst/src/certs/scst_module_key.der /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/
-
patch /etc/init.d/scst < /opt/netapp/lib/ontap_mediator/systemd/scst.patch
-
-
Se, in alternativa, Secure Boot è attivato, prima di riavviare il computer, procedere come segue:
-
Determinare ogni nome di file per i moduli "scst_vdisk", "scst" e "iscsi_scst":
[root@localhost ~]# modinfo -n scst_vdisk [root@localhost ~]# modinfo -n scst [root@localhost ~]# modinfo -n iscsi_scst
-
Determinare il rilascio del kernel:
[root@localhost ~]# uname -r
-
Firmare ogni file con il kernel:
[root@localhost ~]# /usr/src/kernels/<KERNEL-RELEASE>/scripts/sign-file \sha256 \ /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.priv \ /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der \ _module-filename_
-
Installare la chiave corretta con il firmware UEFI.
Le istruzioni per l'installazione della chiave UEFI sono disponibili all'indirizzo:
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/README.module-signing
La chiave UEFI generata si trova in:
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der
-
-
Riavviare il sistema:
reboot
Disinstallare il servizio di supporto ONTAP
Se necessario, è possibile rimuovere il servizio di supporto ONTAP.
Prima di rimuovere il servizio ONTAP Mediator, è necessario disconnettere ONTAP Mediator da ONTAP.
È necessario eseguire questa attività sull'host Linux su cui è installato il servizio ONTAP Mediator.
Se non si riesce a raggiungere questo comando, potrebbe essere necessario eseguire il comando utilizzando il percorso completo, come illustrato nell'esempio seguente:
/usr/local/bin/uninstall_ontap_mediator
-
Disinstallare il servizio di supporto ONTAP:
uninstall_ontap_mediator
[root@mediator-host ~]# uninstall_ontap_mediator ONTAP Mediator: Self Extracting Uninstaller + Removing ONTAP Mediator. (Log: /tmp/ontap_mediator.GmRGdA/uninstall_ontap_mediator/remove.log) + Remove successful. [root@mediator-host ~]#
Rigenerare un certificato autofirmato temporaneo
A partire da ONTAP Mediator 1,7, è possibile rigenerare un certificato autofirmato temporaneo utilizzando la seguente procedura.
|
Questa procedura è supportata solo sui sistemi con ONTAP Mediator 1,7 o versione successiva. |
-
Questa attività viene eseguita sull'host Linux su cui è installato il servizio ONTAP Mediator.
-
È possibile eseguire questa attività solo se i certificati autofirmati generati sono diventati obsoleti a causa di modifiche al nome host o all'indirizzo IP dell'host dopo l'installazione di ONTAP Mediator.
-
Dopo che il certificato autofirmato temporaneo è stato sostituito da un certificato di terze parti attendibile, non utilizzare questa attività per rigenerare un certificato. L'assenza di un certificato autofirmato causerà l'errore di questa procedura.
Per rigenerare un nuovo certificato autofirmato temporaneo per l'host corrente, attenersi alla seguente procedura:
-
Riavviare il servizio ONTAP Mediator:
./make_self_signed_certs.sh overwrite
[root@xyz000123456 ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@xyz000123456 server_config]# ./make_self_signed_certs.sh overwrite Adding Subject Alternative Names to the self-signed server certificate # # OpenSSL example configuration file. Generating self-signed certificates Generating RSA private key, 4096 bit long modulus (2 primes) ..................................................................................................................................................................++++ ........................................................++++ e is 65537 (0x010001) Generating a RSA private key ................................................++++ .............................................................................................................................................++++ writing new private key to 'ontap_mediator_server.key' ----- Signature ok subject=C = US, ST = California, L = San Jose, O = "NetApp, Inc.", OU = ONTAP Core Software, CN = ONTAP Mediator, emailAddress = support@netapp.com Getting CA Private Key
Sostituire i certificati autofirmati con certificati di terze parti attendibili
Se supportati, è possibile sostituire i certificati autofirmati con certificati di terze parti attendibili.
|
|
-
Questa attività viene eseguita sull'host Linux su cui è installato il servizio ONTAP Mediator.
-
È possibile eseguire questa attività se i certificati autofirmati generati devono essere sostituiti da certificati ottenuti da un'autorità di certificazione subordinata attendibile (CA). A tale scopo, è necessario disporre dell'accesso a un'autorità PKI (Public-Key Infrastructure) attendibile.
-
L'immagine seguente mostra le finalità di ciascun certificato ONTAP Mediator.
-
L'immagine seguente mostra la configurazione per l'installazione del server Web e del server ONTAP Mediator.
Passaggio 1: Ottenere un certificato da una terza parte che emette un certificato CA
È possibile ottenere un certificato da un'autorità PKI utilizzando la seguente procedura.
Nell'esempio seguente viene illustrata la sostituzione degli attori certificati autofirmati con gli attori certificati di terze parti situati in /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/
.
|
|
-
Creare una chiave privata
intermediate.key
e un file di configurazioneopenssl_ca.cnf
che verrà utilizzato dall'autorità PKI per generare un certificato.-
Generare la chiave privata
intermediate.key
:Esempio
openssl genrsa -aes256 -out intermediate.key 4096
-
Il file di configurazione
openssl_ca.cnf
(situato in/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf
) definisce le proprietà che il certificato generato deve avere.
-
-
Utilizzare la chiave privata e il file di configurazione per creare una richiesta di firma del certificato
intermediate.csr
:Esempio:
openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf
[root@scs000216655 server_config]# openssl req -key intermediate.key -new -config openssl_ca.cnf -out intermediate.csr Enter pass phrase for intermediate.key: [root@scs000216655 server_config]# cat intermediate.csr -----BEGIN CERTIFICATE REQUEST----- <certificate_value> -----END CERTIFICATE REQUEST-----
-
Inviare la richiesta di firma del certificato
intermediate.csr
a un'autorità PKI per la firma.L'autorità PKI verifica la richiesta e firma il , generando il
.csr`certificato `intermediate.crt
. Inoltre, è necessario ottenere ilroot_intermediate.crt
certificato che ha firmato ilintermediate.crt
certificato dall'autorità PKI.Per i cluster SnapMirror Business Continuity (SM-BC), è necessario aggiungere i intermediate.crt
certificati eroot_intermediate.crt
a un cluster ONTAP. Vedere "Configurare ONTAP Mediator e i cluster per la sincronizzazione attiva di SnapMirror".
-
Creare una chiave privata
ca.key
e un file di configurazioneopenssl_ca.cnf
che verrà utilizzato dall'autorità PKI per generare un certificato.-
Generare la chiave privata
ca.key
:Esempio
openssl genrsa -aes256 -out ca.key 4096
-
Il file di configurazione
openssl_ca.cnf
(situato in/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf
) definisce le proprietà che il certificato generato deve avere.
-
-
Utilizzare la chiave privata e il file di configurazione per creare una richiesta di firma del certificato
ca.csr
:Esempio:
openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf
[root@scs000216655 server_config]# openssl req -key ca.key -new -config openssl_ca.cnf -out ca.csr Enter pass phrase for ca.key: [root@scs000216655 server_config]# cat ca.csr -----BEGIN CERTIFICATE REQUEST----- MIIE6TCCAtECAQAwgaMxCzAJBgNVBAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlh ... erARKhY9z0e8BHPl3g== -----END CERTIFICATE REQUEST-----
-
Inviare la richiesta di firma del certificato
ca.csr
a un'autorità PKI per la firma.L'autorità PKI verifica la richiesta e firma il , generando il
.csr`certificato `ca.crt
. Inoltre, è necessario ottenere ilroot_ca.crt that signed the `ca.crt
certificato dall'autorità PKI.Per i cluster SnapMirror Business Continuity (SM-BC), è necessario aggiungere i ca.crt
certificati eroot_ca.crt
a un cluster ONTAP. Vedere "Configurare ONTAP Mediator e i cluster per la sincronizzazione attiva di SnapMirror".
Passaggio 2: Generare un certificato server firmando con una certificazione CA di terze parti
Un certificato server deve essere firmato dalla chiave privata e dal intermediate.key
certificato di terzi intermediate.crt
. Inoltre, il file di configurazione /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf
contiene alcuni attributi che specificano le proprietà richieste per i certificati server emessi da OpenSSL.
I seguenti comandi possono generare un certificato server.
-
Per generare una richiesta di firma del certificato del server (CSR), eseguire il comando seguente dalla
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
cartella:openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr
-
per generare un certificato server dalla CSR, eseguire il seguente comando dalla
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
cartella:Questi file sono stati ottenuti da un'autorità PKI. Se si utilizza un nome di certificato diverso, sostituire intermediate.crt
eintermediate.key
con i nomi file pertinenti.openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA intermediate.crt -CAkey intermediate.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt
-
L'
-CAcreateserial`opzione viene utilizzata per generare i `intermediate.srl
file.
-
Un certificato server deve essere firmato dalla chiave privata e dal ca.key
certificato di terzi ca.crt
. Inoltre, il file di configurazione /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf
contiene alcuni attributi che specificano le proprietà richieste per i certificati server emessi da OpenSSL.
I seguenti comandi possono generare un certificato server.
-
Per generare una richiesta di firma del certificato del server (CSR), eseguire il comando seguente dalla
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
cartella:openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr
-
per generare un certificato server dalla CSR, eseguire il seguente comando dalla
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
cartella:Questi file sono stati ottenuti da un'autorità PKI. Se si utilizza un nome di certificato diverso, sostituire ca.crt
eca.key
con i nomi file pertinenti.openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA ca.crt -CAkey ca.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt
-
L'
-CAcreateserial`opzione viene utilizzata per generare i `ca.srl
file.
-
Passaggio 3: Sostituzione del nuovo certificato CA di terze parti e del certificato server nella configurazione ONTAP Mediator
La configurazione del certificato viene fornita al servizio ONTAP Mediator nel file di configurazione che si trova in /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml
. Il file include i seguenti attributi:
cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt' key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key' ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt' ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key' ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'
-
cert_path
e.key_path
sono variabili di certificato del server. -
ca_cert_path
,ca_key_path
, e.ca_serial_path
Sono variabili di certificato CA.
-
Sostituire tutti i
intermediate.*
file con i certificati di terze parti. -
Creare una catena di certificati da
intermediate.crt
eontap_mediator_server.crt
certificati:cat ontap_mediator_server.crt intermediate.crt > ontap_mediator_server_chain.crt
-
Aggiornare il
/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
file.Aggiornare i valori di
mediator_cert
, ,mediator_key`e `ca_certificate
:set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt
set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key
set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_intermediate.crt
-
Il
mediator_cert
valore è il percorso delontap_mediator_server_chain.crt
file. -
Il
mediator_key value
è il percorso chiave nelontap_mediator_server.crt
file, che èontap_mediator_server.key
. -
Il
ca_certificate
valore è il percorso delroot_intermediate.crt
file.
-
-
Verificare che i seguenti attributi dei certificati appena generati siano impostati correttamente:
-
Proprietario del gruppo Linux:
netapp:netapp
-
Autorizzazioni Linux:
600
-
-
Riavviare ONTAP Mediator:
systemctl restart ontap_mediator
La configurazione del certificato viene fornita al servizio ONTAP Mediator nel file di configurazione che si trova in /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml
. Il file include i seguenti attributi:
cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt' key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key' ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt' ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key' ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'
-
cert_path
e.key_path
sono variabili di certificato del server. -
ca_cert_path
,ca_key_path
, e.ca_serial_path
Sono variabili di certificato CA.
-
Sostituire tutti i
ca.*
file con i certificati di terze parti. -
Creare una catena di certificati da
ca.crt
eontap_mediator_server.crt
certificati:cat ontap_mediator_server.crt ca.crt > ontap_mediator_server_chain.crt
-
Aggiornare il
/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
file.Aggiornare i valori di
mediator_cert
, ,mediator_key`e `ca_certificate
:set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt
set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key
set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_ca.crt
-
Il
mediator_cert
valore è il percorso delontap_mediator_server_chain.crt
file. -
Il
mediator_key value
è il percorso chiave nelontap_mediator_server.crt
file, che èontap_mediator_server.key
. -
Il
ca_certificate
valore è il percorso delroot_ca.crt
file.
-
-
Verificare che i seguenti attributi dei certificati appena generati siano impostati correttamente:
-
Proprietario del gruppo Linux:
netapp:netapp
-
Autorizzazioni Linux:
600
-
-
Riavviare ONTAP Mediator:
systemctl restart ontap_mediator
Passaggio 4: Se si desidera, utilizzare un percorso o un nome diverso per i certificati di terze parti
È possibile utilizzare certificati di terze parti con un nome diverso da intermediate.*
o memorizzare i certificati di terze parti in una posizione diversa.
-
Configurare il
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml
file in modo che sovrascriva i valori della variabile di default nelontap_mediator.config.yaml
file.Se si è ottenuto
intermediate.crt
da un'autorità PKI e si memorizza la propria chiave privataintermediate.key
nella posizione/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
, ilontap_mediator.user_config.yaml
file dovrebbe essere simile al seguente esempio:Se si è utilizzato intermediate.crt
per firmare ilontap_mediator_server.crt
certificato, ilintermediate.srl
file viene generato. Per ulteriori informazioni, vedere Passaggio 2: Generare un certificato server firmando con una certificazione CA di terze parti .[root@scs000216655 server_config]# cat ontap_mediator.user_config.yaml # This config file can be used to override the default settings in ontap_mediator.config.yaml # To override a setting, copy the property key from ontap_mediator.config.yaml to this file and # set the property to the desired value. e.g., # # The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml # # To override this value with 6 mailboxes per target, add the following key/value pair # below this comment: # # 'default_mailboxes_per_target': 6 # cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt' key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key' ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt' ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key' ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'
-
Se si utilizza una struttura di certificato in cui il
root_intermediate.crt
certificato fornisce unintermediate.crt
certificato che firma ilontap_mediator_server.crt
certificato, creare una catena di certificati daintermediate.crt
eontap_mediator_server.crt
certificati:I certificati e dovrebbero essere stati ottenuti intermediate.crt
ontap_mediator_server.crt
da un'autorità PKI precedentemente nella procedura.cat ontap_mediator_server.crt intermediate.crt > ontap_mediator_server_chain.crt
-
Aggiornare il
/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
file.Aggiornare i valori di
mediator_cert
, ,mediator_key`e `ca_certificate
:set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt
set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key
set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_intermediate.crt
-
Il
mediator_cert
valore è il percorso delontap_mediator_server_chain.crt
file. -
Il
mediator_key
valore è il percorso chiave nelontap_mediator_server.crt
file, che èontap_mediator_server.key
. -
Il
ca_certificate
valore è il percorso delroot_intermediate.crt
file.Per i cluster SnapMirror Business Continuity (SM-BC), è necessario aggiungere i intermediate.crt
certificati eroot_intermediate.crt
a un cluster ONTAP. Vedere "Configurare ONTAP Mediator e i cluster per la sincronizzazione attiva di SnapMirror".
-
-
Verificare che i seguenti attributi dei certificati appena generati siano impostati correttamente:
-
Proprietario del gruppo Linux:
netapp:netapp
-
Autorizzazioni Linux:
600
-
-
-
Riavviare ONTAP Mediator quando i certificati vengono aggiornati nel file di configurazione:
systemctl restart ontap_mediator
È possibile utilizzare certificati di terze parti con un nome diverso da ca.*
o memorizzare i certificati di terze parti in una posizione diversa.
-
Configurare il
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml
file in modo che sovrascriva i valori della variabile di default nelontap_mediator.config.yaml
file.Se si è ottenuto
ca.crt
da un'autorità PKI e si memorizza la propria chiave privataca.key
nella posizione/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
, ilontap_mediator.user_config.yaml
file dovrebbe essere simile al seguente esempio:Se si è utilizzato ca.crt
per firmare ilontap_mediator_server.crt
certificato, ilca.srl
file viene generato. Per ulteriori informazioni, vedere Passaggio 2: Generare un certificato server firmando con una certificazione CA di terze parti .[root@scs000216655 server_config]# cat ontap_mediator.user_config.yaml # This config file can be used to override the default settings in ontap_mediator.config.yaml # To override a setting, copy the property key from ontap_mediator.config.yaml to this file and # set the property to the desired value. e.g., # # The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml # # To override this value with 6 mailboxes per target, add the following key/value pair # below this comment: # # 'default_mailboxes_per_target': 6 # cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt' key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key' ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt' ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key' ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'
-
Se si utilizza una struttura di certificato in cui il
root_ca.crt
certificato fornisce unca.crt
certificato che firma ilontap_mediator_server.crt
certificato, creare una catena di certificati daca.crt
eontap_mediator_server.crt
certificati:I certificati e dovrebbero essere stati ottenuti ca.crt
ontap_mediator_server.crt
da un'autorità PKI precedentemente nella procedura.cat ontap_mediator_server.crt ca.crt > ontap_mediator_server_chain.crt
-
Aggiornare il
/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
file.Aggiornare i valori di
mediator_cert
, ,mediator_key`e `ca_certificate
:set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt
set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key
set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_ca.crt
-
Il
mediator_cert
valore è il percorso delontap_mediator_server_chain.crt
file. -
Il
mediator_key
valore è il percorso chiave nelontap_mediator_server.crt
file, che èontap_mediator_server.key
. -
Il
ca_certificate
valore è il percorso delroot_ca.crt
file.Per i cluster SnapMirror Business Continuity (SM-BC), è necessario aggiungere i ca.crt
certificati eroot_ca.crt
a un cluster ONTAP. Vedere "Configurare ONTAP Mediator e i cluster per la sincronizzazione attiva di SnapMirror".
-
-
Verificare che i seguenti attributi dei certificati appena generati siano impostati correttamente:
-
Proprietario del gruppo Linux:
netapp:netapp
-
Autorizzazioni Linux:
600
-
-
-
Riavviare ONTAP Mediator quando i certificati vengono aggiornati nel file di configurazione:
systemctl restart ontap_mediator
Risolvere i problemi relativi ai certificati
È possibile controllare determinate proprietà dei certificati.
Verificare la scadenza del certificato
Utilizzare il seguente comando per identificare l'intervallo di validità del certificato.
[root@scs000216982 server_config]# openssl x509 -in intermediate.crt -text -noout Certificate: Data: ... Validity Not Before: Feb 22 19:57:25 2024 GMT Not After : Feb 15 19:57:25 2029 GMT
[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout Certificate: Data: ... Validity Not Before: Feb 22 19:57:25 2024 GMT Not After : Feb 15 19:57:25 2029 GMT
Verificare le estensioni X509v3 nella certificazione CA
Utilizzare il seguente comando per verificare le estensioni X509v3 nella certificazione CA.
Le proprietà definite v3_ca
in openssl_ca.cnf
vengono visualizzate come X509v3 extensions
in intermediate.crt
.
[root@scs000216982 server_config]# pwd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@scs000216982 server_config]# cat openssl_ca.cnf ... [ v3_ca ] subjectKeyIdentifier = hash authorityKeyIdentifier = keyid:always,issuer basicConstraints = critical, CA:true keyUsage = critical, cRLSign, digitalSignature, keyCertSign [root@scs000216982 server_config]# openssl x509 -in intermediate.crt -text -noout Certificate: Data: ... X509v3 extensions: X509v3 Subject Key Identifier: 9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27 X509v3 Authority Key Identifier: keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27 X509v3 Basic Constraints: critical CA:TRUE X509v3 Key Usage: critical Digital Signature, Certificate Sign, CRL Sign
Le proprietà definite v3_ca
in openssl_ca.cnf
vengono visualizzate come X509v3 extensions
in ca.crt
.
[root@scs000216982 server_config]# pwd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@scs000216982 server_config]# cat openssl_ca.cnf ... [ v3_ca ] subjectKeyIdentifier = hash authorityKeyIdentifier = keyid:always,issuer basicConstraints = critical, CA:true keyUsage = critical, cRLSign, digitalSignature, keyCertSign [root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout Certificate: Data: ... X509v3 extensions: X509v3 Subject Key Identifier: 9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27 X509v3 Authority Key Identifier: keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27 X509v3 Basic Constraints: critical CA:TRUE X509v3 Key Usage: critical Digital Signature, Certificate Sign, CRL Sign
Verificare le estensioni X509v3 nel certificato del server e nei nomi Alt del soggetto
Il v3_req
proprietà definite nella openssl_server.cnf
il file di configurazione viene visualizzato come X509v3 extensions
nel certificato.
Nell'esempio seguente, è possibile ottenere le variabili in alt_names
mediante l'esecuzione dei comandi hostname -A
e. hostname -I
Sulla macchina virtuale Linux su cui è installato ONTAP Mediator.
Rivolgersi all'amministratore di rete per i valori corretti delle variabili.
[root@scs000216982 server_config]# pwd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@scs000216982 server_config]# cat openssl_server.cnf ... [ v3_req ] basicConstraints = CA:false extendedKeyUsage = serverAuth keyUsage = keyEncipherment, dataEncipherment subjectAltName = @alt_names [ alt_names ] DNS.1 = abc.company.com DNS.2 = abc-v6.company.com IP.1 = 1.2.3.4 IP.2 = abcd:abcd:abcd:abcd:abcd:abcd [root@scs000216982 server_config]# openssl x509 -in intermediate.crt -text -noout Certificate: Data: ... X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Extended Key Usage: TLS Web Server Authentication X509v3 Key Usage: Key Encipherment, Data Encipherment X509v3 Subject Alternative Name: DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd
[root@scs000216982 server_config]# pwd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@scs000216982 server_config]# cat openssl_server.cnf ... [ v3_req ] basicConstraints = CA:false extendedKeyUsage = serverAuth keyUsage = keyEncipherment, dataEncipherment subjectAltName = @alt_names [ alt_names ] DNS.1 = abc.company.com DNS.2 = abc-v6.company.com IP.1 = 1.2.3.4 IP.2 = abcd:abcd:abcd:abcd:abcd:abcd [root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout Certificate: Data: ... X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Extended Key Usage: TLS Web Server Authentication X509v3 Key Usage: Key Encipherment, Data Encipherment X509v3 Subject Alternative Name: DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd
Verificare che una chiave privata corrisponda a un certificato
È possibile verificare se una particolare chiave privata corrisponde a un certificato.
Utilizzare i seguenti comandi OpenSSL rispettivamente sulla chiave e sul certificato.
[root@scs000216982 server_config]# openssl rsa -noout -modulus -in intermediate.key | openssl md5 Enter pass phrase for intermediate.key: (stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc [root@scs000216982 server_config]# openssl x509 -noout -modulus -in intermediate.crt | openssl md5 (stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
[root@scs000216982 server_config]# openssl rsa -noout -modulus -in ca.key | openssl md5 Enter pass phrase for ca.key: (stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc [root@scs000216982 server_config]# openssl x509 -noout -modulus -in ca.crt | openssl md5 (stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
Se il -modulus
attributo per entrambe le corrispondenze, indica che la chiave privata e la coppia di certificati sono compatibili e possono funzionare l'una con l'altra.
Verificare che un certificato server sia stato creato da un determinato certificato CA
È possibile utilizzare il comando seguente per verificare che il certificato del server venga creato da un determinato certificato CA.
[root@scs000216982 server_config]# openssl verify -CAfile intermediate.crt ontap_mediator_server.crt ontap_mediator_server.crt: OK
[root@scs000216982 server_config]# openssl verify -CAfile ca.crt ontap_mediator_server.crt ontap_mediator_server.crt: OK
Se viene utilizzata la convalida OCSP (Online Certificate Status Protocol), utilizzare il comando "openssl-verify".