Skip to main content
SnapCenter software
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare la comunicazione SSL bidirezionale sull'host Linux

PDF

È necessario configurare la comunicazione SSL bidirezionale per proteggere la comunicazione reciproca tra SnapCenter Server sull'host Linux e i plug-in.

Prima di iniziare

  • Dovresti aver configurato il certificato CA per l'host Linux.

  • È necessario abilitare la comunicazione SSL bidirezionale su tutti gli host del plug-in e sul server SnapCenter .

Passi

  1. Copia certificate.pem in /etc/pki/ca-trust/source/anchors/.

  2. Aggiungi i certificati all'elenco di attendibilità del tuo host Linux.

    • cp root-ca.pem /etc/pki/ca-trust/source/anchors/

    • cp certificate.pem /etc/pki/ca-trust/source/anchors/

    • update-ca-trust extract

  3. Verificare se i certificati sono stati aggiunti all'elenco di attendibilità. trust list | grep "<CN of your certificate>"

  4. Aggiornare ssl_certificate e ssl_certificate_key nel file nginx SnapCenter e riavviare.

    • vim /etc/nginx/conf.d/snapcenter.conf

    • systemctl restart nginx

  5. Aggiorna il collegamento all'interfaccia utente grafica di SnapCenter Server.

  6. Aggiornare i valori delle seguenti chiavi in ​​* SnapManager.Web.UI.dll.config* situato in _ /<percorso di installazione>/ NetApp/snapcenter/SnapManagerWeb_ e SMCoreServiceHost.dll.config situato in /<percorso di installazione>/ NetApp/snapcenter/SMCore.

    • <add key="SERVICE_CERTIFICATE_PATH" value="<percorso del certificato.pfx>" />

    • <add key="SERVICE_CERTIFICATE_PASSWORD" value="<password>"/>

  7. Riavviare i seguenti servizi.

    • systemctl restart smcore.service

    • systemctl restart snapmanagerweb.service

  8. Verificare che il certificato sia collegato alla porta web SnapManager . openssl s_client -connect localhost:8146 -brief

  9. Verificare che il certificato sia collegato alla porta smcore. openssl s_client -connect localhost:8145 -brief

  10. Gestisci la password per l'archivio chiavi e l'alias SPL.

    1. Recupera la password predefinita del keystore SPL assegnata alla chiave SPL_KEYSTORE_PASS nel file delle proprietà SPL.

    2. Cambia la password del keystore. keytool -storepasswd -keystore keystore.jks

    3. Cambia la password per tutti gli alias delle voci della chiave privata. keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks

    4. Aggiornare la stessa password per la chiave SPL_KEYSTORE_PASS in spl.properties.

    5. Riavviare il servizio.

  11. Sull'host Linux del plug-in, aggiungere i certificati radice e intermedi nel keystore del plug-in SPL.

    • keytool -import -trustcacerts -alias <any preferred alias name> -file <path of root-ca.pem> -keystore <path of keystore.jks mentioned in spl.properties file>

    • keytool -importkeystore -srckeystore <path of certificate.pfx> -srcstoretype pkcs12 -destkeystore <path of keystore.jks mentioned in spl.properties file> -deststoretype JKS

      1. Controllare le voci in keystore.jks. keytool -list -v -keystore <path to keystore.jks>

      2. Se necessario, rinominare qualsiasi alias. keytool -changealias -alias "old-alias" -destalias "new-alias" -keypass keypass -keystore </path/to/keystore> -storepass storepas

  12. Aggiornare il valore di SPL_CERTIFICATE_ALIAS nel file spl.properties con l'alias di certificate.pfx memorizzato in keystore.jks e riavviare il servizio SPL: systemctl restart spl

  13. Verificare che il certificato sia collegato alla porta smcore. openssl s_client -connect localhost:8145 -brief