Skip to main content
SnapCenter software
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Linuxホストでの双方向SSL通信の設定

PDF

Linuxホスト上のSnapCenter Serverとプラグインの間の相互通信を保護するために、双方向SSL通信を設定する必要があります。

開始する前に

  • LinuxホストのCA証明書を設定しておく必要があります。

  • すべてのプラグイン ホストとSnapCenter Serverで双方向SSL通信を有効にしておく必要があります。

手順

  1. certificate.pem/etc/pki/ca-trust/source/anchors/ にコピーします。

  2. Linuxホストの信頼リストに証明書を追加します。

    • cp root-ca.pem /etc/pki/ca-trust/source/anchors/

    • cp certificate.pem /etc/pki/ca-trust/source/anchors/

    • update-ca-trust extract

  3. 証明書が信頼リストに追加されたかどうかを確認します。 trust list | grep "<CN of your certificate>"

  4. SnapCenter nginx ファイル内の ssl_certificatessl_certificate_key を更新して再起動します。

    • vim /etc/nginx/conf.d/snapcenter.conf

    • systemctl restart nginx

  5. SnapCenter Server GUIリンクを更新します。

  6. /<インストール パス>/ NetApp /snapcenter/SnapManagerWeb にある * SnapManager .Web.UI.dll.config* と /<インストール パス>/ NetApp/snapcenter/SMCore にある SMCoreServiceHost.dll.config の次のキーの値を更新します。

    • <add key="SERVICE_CERTIFICATE_PATH" value="<certificate.pfx のパス>" />

    • <キーを追加="SERVICE_CERTIFICATE_PASSWORD" 値="<パスワード>"/>

  7. 次のサービスを再起動します。

    • systemctl restart smcore.service

    • systemctl restart snapmanagerweb.service

  8. 証明書がSnapManager Web ポートに接続されていることを確認します。 openssl s_client -connect localhost:8146 -brief

  9. 証明書が smcore ポートに接続されていることを確認します。 openssl s_client -connect localhost:8145 -brief

  10. SPLキーストアとエイリアスのパスワードを管理します。

    1. SPL プロパティ ファイルの SPL_KEYSTORE_PASS キーに割り当てられた SPL キーストアのデフォルト パスワードを取得します。

    2. キーストアのパスワードを変更します。 keytool -storepasswd -keystore keystore.jks

    3. すべての秘密鍵エントリのエイリアスのパスワードを変更します。 keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks

    4. spl.properties のキー SPL_KEYSTORE_PASS の同じパスワードを更新します。

    5. サービスを再起動します。

  11. プラグインのLinuxホストで、SPLプラグインのキーストアにルート証明書と中間証明書を追加します。

    • keytool -import -trustcacerts -alias <any preferred alias name> -file <path of root-ca.pem> -keystore <path of keystore.jks mentioned in spl.properties file>

    • keytool -importkeystore -srckeystore <path of certificate.pfx> -srcstoretype pkcs12 -destkeystore <path of keystore.jks mentioned in spl.properties file> -deststoretype JKS

      1. keystore.jks 内のエントリを確認します。 keytool -list -v -keystore <path to keystore.jks>

      2. 必要に応じてエイリアスの名前を変更します。 keytool -changealias -alias "old-alias" -destalias "new-alias" -keypass keypass -keystore </path/to/keystore> -storepass storepas

  12. spl.properties ファイルの SPL_CERTIFICATE_ALIAS の値を、keystore.jks に保存されている certificate.pfx のエイリアスで更新し、SPL サービスを再起動します。 systemctl restart spl

  13. 証明書が smcore ポートに接続されていることを確認します。 openssl s_client -connect localhost:8145 -brief