Linux ホストで SnapCenter Custom Plug-ins サービスの CA 証明書を設定します
カスタムプラグインキーストアとその証明書のパスワードの管理、 CA 証明書の設定、カスタムプラグインの信頼ストアへのルート証明書または中間証明書の設定、 SnapCenter Custom Plug-ins の信頼ストアを使用したカスタムプラグインの信頼ストアへの CA 署名キーペアの設定、インストールされたデジタル証明書のアクティブ化が必要です。
カスタムプラグインでは、ファイル「 keystore.JKS 」を使用します。このファイルは、信頼ストアおよびキーストアとして _/opt/NetApp/snapcenter / scc /etc/both にあります。
カスタムプラグインのキーストアのパスワード、および使用中の CA 署名済みキーペアのエイリアスを管理します
-
手順 *
-
カスタムプラグインキーストアのデフォルトパスワードは、カスタムプラグインエージェントのプロパティファイルから取得できます。
キー「 keystore.pass 」に対応する値です。
-
キーストアのパスワードを変更します。
keytool -storepasswd -keystore keystore.jks . キーストア内の秘密鍵エントリのすべてのエイリアスのパスワードを、キーストアに使用されているパスワードと同じパスワードに変更します。
keytool -keypasswd -alias "alias_name_in_cert" -keystore keystore.jks
agent.properties ファイル内のキー keystore.pass に対しても同じキーを更新します。
-
パスワードを変更したら、サービスを再起動してください。
-
カスタムプラグインキーストアのパスワード、および秘密鍵に関連付けられているすべてのエイリアスパスワードが同じである必要があります。 |
ルート証明書または中間証明書をカスタムプラグインの信頼ストアに設定します
カスタムプラグインの信頼ストアの秘密鍵を使用せずにルート証明書または中間証明書を設定する必要があります。
-
手順 *
-
カスタムプラグインキーストアを含むフォルダ( /opt/NetApp/snapcenter / scc など)に移動します
-
ファイル 'keystore.jkS' を探します。
-
キーストアに追加された証明書を表示します。
keytool -list -v -keystore keystore.jks
-
ルート証明書または中間証明書を追加します。
keytool -import -trustcacerts -alias myRootCA -file /root/USERTrustRSA_Root.cer -keystore keystore.jks . カスタムプラグインの信頼ストアにルート証明書または中間証明書を設定したら、サービスを再起動してください。
-
ルート CA 証明書、中間 CA 証明書の順に追加する必要があります。 |
CA 署名キーペアをカスタムプラグインの信頼ストアに設定します
CA 署名キーペアをカスタムプラグインの信頼ストアに設定する必要があります。
-
手順 *
-
カスタムプラグインキーストア /opt/NetApp/snapcenter / scc などが含まれているフォルダに移動します
-
ファイル 'keystore.jkS' を探します。
-
キーストアに追加された証明書を表示します。
keytool -list -v -keystore keystore.jks
-
秘密鍵と公開鍵の両方を含む CA 証明書を追加します。
keytool -importkeystore -srckeystore /root/snapcenter.ssl.test.netapp.com.pfx -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS
-
キーストアに追加された証明書を表示します。
keytool -list -v -keystore keystore.jks
-
キーストアに、キーストアに追加された新しい CA 証明書に対応するエイリアスが含まれていることを確認します。
-
CA 証明書用に追加された秘密鍵のパスワードをキーストアのパスワードに変更します。
デフォルトのカスタムプラグインキーストアパスワードは、 agent.properties ファイル内のキー keystore.pass の値です。
keytool -keypasswd -alias "alias_name_in_CA_cert" -keystore keystore.jks . CA 証明書のエイリアス名が長く、スペースまたは特殊文字(「 * 」、「」)が含まれている場合は、エイリアス名を単純な名前に変更します。
keytool -changealias -alias "long_alias_name" -destalias "simple_alias" -keystore keystore.jks . agent.properties ファイルの CA 証明書からエイリアス名を設定します。
この値をキー SCC_CERTIFICATE_ALIAS に更新します。
-
CA 署名済みキーペアをカスタムプラグインの信頼ストアに設定したら、サービスを再起動します。
-
SnapCenter Custom Plug-ins の証明書失効リスト( CRL )を設定します
-
このタスクについて *
-
SnapCenter カスタムプラグインは、事前に設定されたディレクトリ内の CRL ファイルを検索します。
-
SnapCenter カスタムプラグインの CRL ファイルのデフォルトディレクトリは、「 /opt/netapp/snapcenter /sscc /etc/crl 」です。
-
手順 *
-
agent.properties ファイルのデフォルトディレクトリを、キー crl_path に対して変更および更新できます。
このディレクトリに複数の CRL ファイルを配置できます。着信証明書は各 CRL に対して検証されます。
-