Configurare il certificato CA per il servizio dei plug-in supportati da NetApp sull'host Windows
Suggerisci modifiche
PDF
È necessario gestire la password del keystore dei plug-in e il relativo certificato, configurare il certificato CA, configurare i certificati radice o intermedi per il trust-store dei plug-in e configurare la coppia di chiavi firmata dalla CA per il trust-store dei plug-in con il servizio Plug-in per attivare il certificato digitale installato.
Il plug-in utilizza il file keystore.jks, che si trova in C:\Program Files\NetApp\SnapCenter\Snapcenter Plug-in Creator\etc sia come archivio attendibile che come archivio chiavi.
Gestisci la password per il keystore del plug-in e l'alias della coppia di chiavi firmata dalla CA in uso
-
È possibile recuperare la password predefinita del keystore del plug-in dal file delle proprietà dell'agente plug-in.
È il valore corrispondente alla chiave KEYSTORE_PASS.
-
Modificare la password del keystore:
keytool -storepasswd -keystore keystore.jks
Se il comando "keytool" non viene riconosciuto dal prompt dei comandi di Windows, sostituire il comando keytool con il relativo percorso completo. C: File di programma Java <jdk_version> keytool.exe" -storepasswd -keystore keystore.jks
-
Modificare la password per tutti gli alias delle chiavi private nel keystore con la stessa password utilizzata per il keystore:
keytool -keypasswd -alias "alias_name_in_cert" -keystore keystore.jks
Aggiornare lo stesso per la chiave KEYSTORE_PASS nel file agent.properties.
-
Riavviare il servizio dopo aver modificato la password.
La password per l'archivio chiavi del plug-in e per tutte le password alias associate della chiave privata devono essere le stesse.
Configurare i certificati radice o intermedi per collegare trust-store
È necessario configurare i certificati radice o intermedi senza la chiave privata per collegare trust-store.
-
Passare alla cartella contenente il keystore del plug-in C:\Programmi\NetApp\SnapCenter\Snapcenter Plug-in Creator\etc
-
Individuare il file 'keystore.jks'.
-
Elencare i certificati aggiunti nel keystore:
keytool -list -v -keystore keystore.jks
-
Aggiungere un certificato root o intermedio:
Keytool -import -trustcaacerts -alias myRootCA -file /root/USERTrustRSA_Root.cer -keystore keystore.jks
-
Riavviare il servizio dopo aver configurato i certificati radice o intermedi per collegare trust-store.
|
|
Aggiungere il certificato CA principale e i certificati CA intermedi. |
Configurare la coppia di chiavi firmata da CA per collegare l'archivio attendibile
È necessario configurare la coppia di chiavi firmata dalla CA nel trust-store del plug-in.
-
Passare alla cartella contenente il keystore del plug-in C:\Programmi\NetApp\SnapCenter\Snapcenter Plug-in Creator\etc
-
Individuare il file keystore.jks.
-
Elencare i certificati aggiunti nel keystore:
keytool -list -v -keystore keystore.jks
-
Aggiungere il certificato CA con chiave pubblica e privata.
Keytool -importkeystore -srckeystore /root/snapcenter.ssl.test.netapp.com.pfx -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS
-
Elencare i certificati aggiunti nel keystore.
keytool -list -v -keystore keystore.jks
-
Verificare che il keystore contenga l'alias corrispondente al nuovo certificato CA aggiunto al keystore.
-
Modificare la password della chiave privata aggiunta per il certificato CA in password archivio chiavi.
La password predefinita del keystore del plug-in è il valore della chiave KEYSTORE_PASS nel file agent.properties.
Keytool -keypasswd -alias "alias_name_in_CA_cert" -keystore keystore.jks
-
Configurare il nome alias del certificato CA nel file agent.properties.
Aggiornare questo valore con la chiave SCC_CERTIFICATE_ALIAS.
-
Riavviare il servizio dopo aver configurato la coppia di chiavi firmate dalla CA per collegare trust-store.
Configurare l'elenco di revoche dei certificati (CRL) per i plug-in SnapCenter
-
Per scaricare il file CRL più recente per il certificato CA correlato, vedere "Come aggiornare il file dell'elenco di revoca dei certificati nel certificato CA di SnapCenter".
-
I plug-in SnapCenter cercheranno i file CRL in una directory preconfigurata.
-
La directory predefinita per i file CRL per i plug-in SnapCenter è 'C:\Programmi\NetApp\SnapCenter\Snapcenter Plug-in Creator\ etc\crl'.
-
È possibile modificare e aggiornare la directory predefinita nel file agent.properties in base alla chiave CRL_PATH.
-
È possibile inserire più file CRL in questa directory.
I certificati in entrata verranno verificati per ciascun CRL.