Skip to main content
SnapCenter software
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare l'autenticazione basata su certificato

PDF

L'autenticazione basata su certificato aumenta la sicurezza verificando l'identità sia del server SnapCenter che degli host dei plug-in, garantendo comunicazioni sicure e crittografate.

Abilita l'autenticazione basata sul certificato

Per abilitare l'autenticazione basata su certificato per SnapCenter Server e gli host plug-in di Windows, eseguire il seguente cmdlet di PowerShell. Per gli host plug-in Linux, l'autenticazione basata su certificato verrà abilitata quando si abilita l'SSL bidirezionale.

  • Per abilitare l'autenticazione basata sul certificato client:

    Set-SmConfigSettings -Agent –configSettings @{"EnableClientCertificateAuthentication"="true"} -HostName[hostname]

  • Per disabilitare l'autenticazione basata sul certificato client:

    Set-SmConfigSettings -Agent –configSettings @{"EnableClientCertificateAuthentication"="false"} -HostName [hostname]`

Esportare i certificati dell'autorità di certificazione (CA) da SnapCenter Server

È necessario esportare i certificati CA dal server SnapCenter agli host plug-in utilizzando la console di gestione Microsoft (MMC).

Prima di iniziare

Dovresti aver configurato l'SSL bidirezionale.

Passi

  1. Vai alla console di gestione Microsoft (MMC), quindi fai clic su File > Aggiungi/Rimuovi snap-in.

  2. Nella finestra Aggiungi o rimuovi snap-in, seleziona Certificati e poi fai clic su Aggiungi.

  3. Nella finestra Snap-in Certificati, selezionare l'opzione Account computer, quindi fare clic su Fine.

  4. Fare clic su Console Root > Certificati - Computer locale > Personale > Certificati.

  5. Fare clic con il pulsante destro del mouse sul certificato CA ottenuto, utilizzato per SnapCenter Server, quindi selezionare Tutte le attività > Esporta per avviare la procedura guidata di esportazione.

  6. Eseguire le seguenti azioni nella procedura guidata.

Per questa opzione…​ Procedi come segue…​

Esporta chiave privata

Selezionare No, non esportare la chiave privata, quindi fare clic su Avanti.

Formato file di esportazione

Fare clic su Avanti.

Nome del file

Fare clic su Sfoglia e specificare il percorso del file in cui salvare il certificato, quindi fare clic su Avanti.

Completamento della procedura guidata di esportazione del certificato

Rivedi il riepilogo, quindi fai clic su Fine per avviare l'esportazione.
Nota L'autenticazione basata su certificato non è supportata per le configurazioni SnapCenter HA e per il SnapCenter Plug-in for VMware vSphere.

Importa il certificato CA negli host dei plug-in di Windows

Per utilizzare il certificato CA di SnapCenter Server esportato, è necessario importare il certificato correlato negli host del plug-in Windows SnapCenter tramite la console di gestione Microsoft (MMC).

Passi

  1. Vai alla console di gestione Microsoft (MMC), quindi fai clic su File > Aggiungi/Rimuovi snap-in.

  2. Nella finestra Aggiungi o rimuovi snap-in, seleziona Certificati e poi fai clic su Aggiungi.

  3. Nella finestra Snap-in Certificati, selezionare l'opzione Account computer, quindi fare clic su Fine.

  4. Fare clic su Console Root > Certificati - Computer locale > Personale > Certificati.

  5. Fare clic con il pulsante destro del mouse sulla cartella "Personale", quindi selezionare Tutte le attività > Importa per avviare la procedura guidata di importazione.

  6. Eseguire le seguenti azioni nella procedura guidata.

Per questa opzione…​ Procedi come segue…​

Posizione del negozio

Fare clic su Avanti.

File da importare

Selezionare il certificato SnapCenter Server che termina con l'estensione .cer.

Archivio certificati

Fare clic su Avanti.

Completamento della procedura guidata di esportazione del certificato

Rivedi il riepilogo, quindi fai clic su Fine per avviare l'importazione.

Importa il certificato CA negli host del plug-in UNIX

Dovresti importare il certificato CA negli host del plug-in UNIX.

Informazioni su questo compito

  • È possibile gestire la password per l'archivio chiavi SPL e l'alias della coppia di chiavi firmata dalla CA in uso.

  • La password per il keystore SPL e per tutte le password alias associate alla chiave privata devono essere le stesse.

Passi

  1. È possibile recuperare la password predefinita del keystore SPL dal file delle proprietà SPL. È il valore corrispondente alla chiave SPL_KEYSTORE_PASS .

  2. Cambia la password del keystore: $ keytool -storepasswd -keystore keystore.jks

  3. Modificare la password per tutti gli alias delle voci di chiave privata nel keystore con la stessa password utilizzata per il keystore: $ keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks

  4. Aggiornare lo stesso per la chiave SPL_KEYSTORE_PASS in spl.properties` file.

  5. Riavviare il servizio dopo aver modificato la password.

Configurare i certificati radice o intermedi per l'archivio attendibile SPL

È necessario configurare i certificati radice o intermedi su SPL trust-store. Dovresti aggiungere il certificato CA radice e poi i certificati CA intermedi.

Passi

  1. Passare alla cartella contenente il keystore SPL: /var/opt/snapcenter/spl/etc .

  2. Individuare il file keystore.jks .

  3. Elenca i certificati aggiunti nel keystore: $ keytool -list -v -keystore keystore.jks

  4. Aggiungi un certificato radice o intermedio: $ keytool -import -trustcacerts -alias <AliasNameForCerticateToBeImported> -file /<CertificatePath> -keystore keystore.jks

  5. Riavviare il servizio dopo aver configurato i certificati radice o intermedi su SPL trust-store.

Configurare la coppia di chiavi firmate dalla CA nell'archivio attendibile SPL

È necessario configurare la coppia di chiavi firmata dalla CA su SPL trust-store.

Passi

  1. Passare alla cartella contenente il keystore dell'SPL /var/opt/snapcenter/spl/etc .

  2. Individuare il file keystore.jks` .

  3. Elenca i certificati aggiunti nel keystore: $ keytool -list -v -keystore keystore.jks

  4. Aggiungere il certificato CA con chiave sia privata che pubblica. $ keytool -importkeystore -srckeystore <CertificatePathToImport> -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS

  5. Elenca i certificati aggiunti nel keystore. $ keytool -list -v -keystore keystore.jks

  6. Verificare che il keystore contenga l'alias corrispondente al nuovo certificato CA aggiunto al keystore.

  7. Modificare la password della chiave privata aggiunta per il certificato CA con la password del keystore.

    La password predefinita del keystore SPL è il valore della chiave SPL_KEYSTORE_PASS in spl.properties file.

    $ keytool -keypasswd -alias "<aliasNameOfAddedCertInKeystore>" -keystore keystore.jks`

  8. Se il nome alias nel certificato CA è lungo e contiene spazi o caratteri speciali ("*",","), modificare il nome alias in un nome semplice: $ keytool -changealias -alias "<OrignalAliasName>" -destalias "<NewAliasName>" -keystore keystore.jks`

  9. Configurare il nome alias dal keystore situato in spl.properties file. Aggiornare questo valore in base alla chiave SPL_CERTIFICATE_ALIAS.

  10. Riavviare il servizio dopo aver configurato la coppia di chiavi firmate dalla CA nell'archivio attendibile SPL.

Esportare i certificati SnapCenter

Dovresti esportare i certificati SnapCenter in formato .pfx.

Passi

  1. Vai alla console di gestione Microsoft (MMC), quindi fai clic su File > Aggiungi/Rimuovi snap-in.

  2. Nella finestra Aggiungi o rimuovi snap-in, seleziona Certificati e poi fai clic su Aggiungi.

  3. Nella finestra snap-in Certificati, seleziona l'opzione Il mio account utente, quindi fai clic su Fine.

  4. Fare clic su Console Root > Certificati - Utente corrente > Autorità di certificazione radice attendibili > Certificati.

  5. Fare clic con il pulsante destro del mouse sul certificato con il nome descrittivo SnapCenter , quindi selezionare Tutte le attività > Esporta per avviare la procedura guidata di esportazione.

  6. Completare la procedura guidata come segue:

    In questa finestra della procedura guidata…​ Procedi come segue…​

    Esporta chiave privata

    Selezionare l'opzione Sì, esporta la chiave privata, quindi fare clic su Avanti.

    Formato file di esportazione

    Non apportare modifiche; fare clic su Avanti.

    Sicurezza

    Specificare la nuova password da utilizzare per il certificato esportato, quindi fare clic su Avanti.

    File da esportare

    Specificare un nome file per il certificato esportato (è necessario utilizzare .pfx), quindi fare clic su Avanti.

    Completamento della procedura guidata di esportazione del certificato

    Rivedi il riepilogo, quindi fai clic su Fine per avviare l'esportazione.