Windowsホスト上のSnapCenterカスタムプラグインサービス用のCA証明書の設定
カスタムプラグインキーストアとその証明書のパスワードの管理、 CA 証明書の設定、カスタムプラグインの信頼ストアへのルート証明書または中間証明書の設定、 SnapCenter Custom Plug-ins の信頼ストアを使用したカスタムプラグインの信頼ストアへの CA 署名キーペアの設定、インストールされたデジタル証明書のアクティブ化が必要です。
カスタムプラグインは、 _ C : \Program Files\NetApp\SnapManager \Snapcenter Plug-in Creator\etc_both にある file_keystore.JKS_を 信頼ストアおよびキーストアとして使用します。
カスタムプラグインキーストアのパスワードと使用中のCA署名キーペアのエイリアスを管理します。
-
カスタムプラグインキーストアのデフォルトパスワードは、カスタムプラグインエージェントのプロパティファイルから取得できます。
key_keystore.pass_ に対応する値です。
-
キーストアのパスワードを変更します。
keytool -storepasswd -keystore keystore.JKS
Windowsコマンドプロンプトで「keytool」コマンドが認識されない場合は、keytoolコマンドを完全なパスに置き換えます。 C : \Program Files\Java\<JDK_version >\bin\keytool .exe "-storepasswd -keystore keystore.JKS
-
キーストア内の秘密鍵エントリのすべてのエイリアスのパスワードを、キーストアと同じパスワードに変更します。
keytool -keypasswd -alias "alias_name_in_cert" -keystore keystore.JKS
agent.properties ファイル内のキー keystore.pass に対しても同じキーを更新します。
-
パスワードを変更したら、サービスを再起動します。
カスタムプラグインキーストアのパスワードと、秘密鍵に関連付けられているすべてのエイリアスパスワードを同じにする必要があります。
カスタムプラグインの信頼ストアへのルート証明書または中間証明書の設定
ルート証明書または中間証明書は、カスタムプラグインの信頼ストアに秘密鍵なしで設定する必要があります。
-
カスタムプラグインの keystore _C : \Program Files\NetApp\Virtual \SnapCenter \Snapcenter Plug-in Creator\etc\備え ているフォルダに移動します
-
「keystore.jks」ファイルを探します。
-
キーストアに追加された証明書を一覧表示します。
keytool -list -v キーストア .JKS
-
ルート証明書または中間証明書を追加します。
keytool -import-trustcacerts -alias myRootCA -file/root/USERTrustRSA_Root.cer -keystore keystore.JKS
-
カスタムプラグインの信頼ストアにルート証明書または中間証明書を設定したら、サービスを再起動します。
ルートCA証明書のあとに中間CA証明書を追加する必要があります。 |
カスタムプラグインの信頼ストアへのCA署名キーペアの設定
カスタムプラグインの信頼ストアにCA署名キーペアを設定する必要があります。
-
カスタムプラグインの keystore _C : \Program Files\NetApp\Virtual \SnapCenter \Snapcenter Plug-in Creator\etc\備え ているフォルダに移動します
-
file_keystore.JKS_</Z1> を探します。
-
キーストアに追加された証明書を一覧表示します。
keytool -list -v キーストア .JKS
-
秘密鍵と公開鍵の両方が設定されたCA証明書を追加します。
keytool -importkeystore -srckeystore.root/ snapcenter.ssl.test.netapp.com.pfx -srcstoretype pkcs12 -destkeystore keystore.JKS -deststoretype JKS
-
キーストアに追加された証明書を一覧表示します。
keytool -list -v キーストア .JKS
-
キーストアに追加された新しいCA証明書に対応するエイリアスがキーストアに含まれていることを確認します。
-
CA証明書に追加した秘密鍵のパスワードをキーストアのパスワードに変更します。
デフォルトのカスタムプラグインキーストアパスワードは、agent.propertiesファイルのキーkeystore_passの値です。
keytool -keypasswd -alias "alias_name_in_ca_cert" -keystore keystore.JKS_
-
agent.properties ファイルの CA 証明書からエイリアス名を設定します。
この値をSCC_CERTIFICATE_ALIASキーに対して更新します。
-
カスタムプラグインの信頼ストアにCA署名キーペアを設定したら、サービスを再起動します。
SnapCenterカスタムプラグインの証明書失効リスト(CRL)を設定する
-
関連するCA証明書の最新のCRLファイルをダウンロードするには、を参照してください "SnapCenter CA 証明書の証明書失効リストファイルを更新する方法"。
-
SnapCenterカスタムプラグインは、事前に設定されたディレクトリでCRLファイルを検索します。
-
SnapCenter カスタムプラグインの CRL ファイルのデフォルトディレクトリは、 'C:\Program Files\NetApp\SnapCenter \Snapcenter Plug-in Creator\etc\crl' です。
-
agent.properties ファイルのデフォルトディレクトリを、キー crl_path に対して変更および更新できます。
-
このディレクトリには、複数のCRLファイルを配置できます。
受信証明書は、各CRLに対して検証されます。