Skip to main content
SnapCenter Software 6.0
本製品の最新リリースがご利用いただけます。
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Linuxホスト上のSnapCenter PostgreSQL Plug-inサービス用のCA証明書の設定

共同作成者
PDF

インストールされたデジタル証明書をアクティブ化するには、SnapCenter プラグイン サービスを使用して、プラグイン キーストアとその証明書のパスワードを管理し、CA 証明書を構成し、プラグイン トラストストアにルート証明書または中間証明書を構成し、プラグイン トラストストアに CA 署名キー ペアを構成する必要があります。

プラグインは、信頼ストアとキーストアの両方として、/opt/NetApp/snapcenter/scc/etc にあるファイル「keystore.jks」を使用します。

プラグインキーストアのパスワードと使用中のCA署名キーペアのエイリアスを管理する

手順

  1. プラグイン エージェント プロパティ ファイルからプラグイン キーストアのデフォルト パスワードを取得できます。

    キー'keystore_pass'に対応する値です。

  2. キーストアのパスワードを変更します。

     keytool -storepasswd -keystore keystore.jks
. キーストア内の秘密鍵エントリのすべてのエイリアスのパスワードを、キーストアと同じパスワードに変更します。
    keytool -keypasswd -alias "alias_name_in_cert" -keystore keystore.jks

    agent.properties ファイル内のキー keystore.pass に対しても同じキーを更新します。

  3. パスワードを変更したら、サービスを再起動します。

メモ プラグイン キーストアのパスワードと、秘密キーに関連付けられたすべてのエイリアス パスワードは同じである必要があります。

ルート証明書または中間証明書をプラグイン信頼ストアに設定する

信頼ストアをプラグインするには、秘密キーなしでルート証明書または中間証明書を構成する必要があります。

手順

  1. プラグイン キーストアが格納されているフォルダー (/opt/NetApp/snapcenter/scc/etc) に移動します。

  2. 「keystore.jks」ファイルを探します。

  3. キーストアに追加された証明書を一覧表示します。

    keytool -list -v -keystore keystore.jks

  4. ルート証明書または中間証明書を追加します。

     keytool -import -trustcacerts -alias myRootCA -file /root/USERTrustRSA_Root.cer -keystore keystore.jks
. ルート証明書または中間証明書をプラグイン信頼ストアに設定した後、サービスを再起動します。
メモ ルートCA証明書のあとに中間CA証明書を追加する必要があります。

CA署名キーペアをプラグイン信頼ストアに設定する

CA 署名キー ペアをプラグイン信頼ストアに設定する必要があります。

手順

  1. プラグイン キーストア /opt/NetApp/snapcenter/scc/etc が含まれるフォルダーに移動します。

  2. 「keystore.jks」ファイルを探します。

  3. キーストアに追加された証明書を一覧表示します。

    keytool -list -v -keystore keystore.jks

  4. 秘密鍵と公開鍵の両方が設定されたCA証明書を追加します。

    keytool -importkeystore -srckeystore /root/snapcenter.ssl.test.netapp.com.pfx -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS

  5. キーストアに追加された証明書を一覧表示します。

    keytool -list -v -keystore keystore.jks

  6. キーストアに追加された新しいCA証明書に対応するエイリアスがキーストアに含まれていることを確認します。

  7. CA証明書に追加した秘密鍵のパスワードをキーストアのパスワードに変更します。

    デフォルトのキーストア パスワードは、agent.properties ファイルのキー KEYSTORE_PASS の値です。

     keytool -keypasswd -alias "alias_name_in_CA_cert" -keystore keystore.jks
. CA 証明書のエイリアス名が長く、スペースまたは特殊文字(「 * 」、「」)が含まれている場合は、エイリアス名を単純な名前に変更します。
     keytool -changealias -alias "long_alias_name" -destalias "simple_alias" -keystore keystore.jks
. agent.propertiesファイルのCA証明書からエイリアス名を設定します。

    この値をSCC_CERTIFICATE_ALIASキーに対して更新します。

  8. CA 署名キー ペアをプラグイン トラスト ストアに設定した後、サービスを再起動します。

SnapCenterプラグインの証明書失効リスト(CRL)を構成する

タスクの内容

  • SnapCenter プラグインは、事前に構成されたディレクトリ内の CRL ファイルを検索します。

  • SnapCenter プラグインの CRL ファイルのデフォルト ディレクトリは、「opt/NetApp/snapcenter/scc/etc/crl」です。

手順

  1. crl_pathキーに対して、agent.propertiesファイルのデフォルトディレクトリを変更および更新できます。

    このディレクトリには、複数のCRLファイルを配置できます。受信証明書は、各CRLに対して検証されます。