Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare la comunicazione SSL bidirezionale sull'host Linux

Collaboratori
PDF

È necessario configurare la comunicazione SSL bidirezionale per proteggere la comunicazione reciproca tra il server SnapCenter su host Linux e i plug-in.

Prima di iniziare

  • Il certificato CA dovrebbe essere stato configurato per l'host Linux.

  • È necessario attivare la comunicazione SSL bidirezionale su tutti gli host plug-in e sul server SnapCenter.

Fasi

  1. Copiare certificate.pem in /etc/pki/ca-trust/source/anchors/.

  2. Aggiungere i certificati nell'elenco di attendibilità dell'host Linux.

    • cp root-ca.pem /etc/pki/ca-trust/source/anchors/

    • cp certificate.pem /etc/pki/ca-trust/source/anchors/

    • update-ca-trust extract

  3. Verificare se i certificati sono stati aggiunti all'elenco dei certificati attendibili. trust list | grep "<CN of your certificate>"

  4. Aggiornare ssl_certificate e ssl_certificate_key nel file SnapCenter nginx e riavviare.

    • vim /etc/nginx/conf.d/snapcenter.conf

    • systemctl restart nginx

  5. Aggiornare il collegamento della GUI del server SnapCenter.

  6. Aggiornare i valori delle seguenti chiavi in SnapManager.Web.UI.dll.config situato in _ /<installation path>/NetApp/snapcenter/SnapManagerWeb_ e SMCoreServiceHost.dll.config situato in /<installation path>/NetApp/snapcenter/SMCore.

    • <add key="SERVICE_CERTIFICATE_PATH" value="<path of certificate.pfx>" />

    • <add key="SERVICE_CERTIFICATE_PASSWORD" value="<password>"/>

  7. Riavviare i seguenti servizi.

    • systemctl restart smcore.service

    • systemctl restart snapmanagerweb.service

  8. Verificare che il certificato sia collegato alla porta Web SnapManager. openssl s_client -connect localhost:8146 -brief

  9. Verificare che il certificato sia collegato alla porta smcore. openssl s_client -connect localhost:8145 -brief

  10. Gestisci password per archivio chiavi e alias SPL.

    1. Recuperare la password predefinita del keystore SPL assegnata alla chiave SPL_KEYSTORE_PASS nel file di proprietà SPL.

    2. Modificare la password dell'archivio chiavi. keytool -storepasswd -keystore keystore.jks

    3. Modificare la password per tutti gli alias delle voci di chiave privata. keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks

    4. Aggiorna la stessa password per la chiave SPL_KEYSTORE_PASS in spl.properties.

    5. Riavviare il servizio.

  11. Sul plug-in host Linux, aggiungere i certificati root e intermedi nel keystore del plug-in SPL.

    • keytool -import -trustcacerts -alias <any preferred alias name> -file <path of root-ca.pem> -keystore <path of keystore.jks mentioned in spl.properties file>

    • keytool -importkeystore -srckeystore <path of certificate.pfx> -srcstoretype pkcs12 -destkeystore <path of keystore.jks mentioned in spl.properties file> -deststoretype JKS

      1. Controllare le voci in keystore.jks. keytool -list -v -keystore <path to keystore.jks>

      2. Se necessario, rinominare qualsiasi alias. keytool -changealias -alias "old-alias" -destalias "new-alias" -keypass keypass -keystore </path/to/keystore> -storepass storepas

  12. Aggiornare il valore di SPL_CERTIFICATE_ALIAS nel file spl.properties con l'alias di certificate.pfx memorizzato in keystore.jks e riavviare il servizio SPL: systemctl restart spl

  13. Verificare che il certificato sia collegato alla porta smcore. openssl s_client -connect localhost:8145 -brief