Skip to main content
SnapCenter software
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

WindowsホストでのSnapCenter PostgreSQL Plug-insサービスのCA証明書の設定

PDF

インストールされたデジタル証明書をアクティブ化するには、 SnapCenterプラグイン サービスを使用して、プラグイン キーストアとその証明書のパスワードを管理し、CA 証明書を構成し、プラグイン トラストストアにルート証明書または中間証明書を構成し、プラグイン トラストストアに CA 署名キー ペアを構成する必要があります。

プラグインは、信頼ストアとキーストアの両方として、C:\Program Files\ NetApp\ SnapCenter\Snapcenter Plug-in Creator\etc にあるファイル keystore.jks を使用します。

プラグインキーストアのパスワードと使用中のCA署名キーペアのエイリアスを管理する

手順

  1. プラグイン エージェント プロパティ ファイルからプラグイン キーストアのデフォルト パスワードを取得できます。

    これはキー_KEYSTORE_PASS_に対応する値です。

  2. キーストアのパスワードを変更します。

    keytool -storepasswd -keystore keystore.jks

    メモ Windowsコマンド プロンプトで「keytool」コマンドが認識されない場合は、keytoolコマンドを完全なパスに置き換えます。

    C:\Program Files\Java\<jdk_version>\bin\keytool.exe" -storepasswd -keystore keystore.jks

  3. キーストア内の秘密キー エントリのすべてのエイリアスのパスワードを、キーストアと同じパスワードに変更します。

    keytool -keypasswd -alias "証明書内のエイリアス名" -keystore keystore.jks

    agent.properties ファイルのキー KEYSTORE_PASS も同様に更新します。

  4. パスワードを変更したら、サービスを再起動します。

    メモ プラグイン キーストアのパスワードと、秘密キーに関連付けられたすべてのエイリアス パスワードは同じである必要があります。

ルート証明書または中間証明書をプラグイン信頼ストアに設定する

信頼ストアをプラグインするには、秘密キーなしでルート証明書または中間証明書を構成する必要があります。

手順

  1. プラグインキーストアが格納されているフォルダ_C:\Program Files\ NetApp\ SnapCenter\Snapcenter Plug-in Creator\etc_に移動します。

  2. 「keystore.jks」ファイルを探します。

  3. キーストアに追加された証明書の一覧を表示します。

    keytool -list -v -keystore keystore.jks

  4. ルート証明書か中間証明書を追加します。

    keytool -import -trustcacerts -alias myRootCA -file /root/USERTrustRSA_Root.cer -keystore keystore.jks

  5. ルート証明書または中間証明書をプラグイン信頼ストアに設定した後、サービスを再起動します。

メモ ルートCA証明書を追加してから、中間CA証明書を追加する必要があります。

プラグイン信頼ストアにCA署名キーペアを構成する

CA 署名キー ペアをプラグイン信頼ストアに設定する必要があります。

手順

  1. プラグインキーストアが格納されているフォルダ_C:\Program Files\ NetApp\ SnapCenter\Snapcenter Plug-in Creator\etc_に移動します。

  2. ファイル keystore.jks を見つけます。

  3. キーストアに追加された証明書の一覧を表示します。

    keytool -list -v -keystore keystore.jks

  4. 秘密キーと公開キーの両方が設定されたCA証明書を追加します。

    keytool -importkeystore -srckeystore /root/snapcenter.ssl.test.netapp.com.pfx -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS

  5. キーストアに追加された証明書の一覧を表示します。

    keytool -list -v -keystore keystore.jks

  6. キーストアに追加された新しいCA証明書に対応するエイリアスが、キーストアに含まれていることを確認します。

  7. CA証明書に追加した秘密キーのパスワードを、キーストアのパスワードに変更します。

    デフォルトのプラグイン キーストア パスワードは、agent.properties ファイルのキー KEYSTORE_PASS の値です。

    keytool -keypasswd -alias "CA証明書のエイリアス名" -keystore keystore.jks

  8. agent.properties ファイル内の CA 証明書からエイリアス名を設定します。

    この値を、キーSCC_CERTIFICATE_ALIASに対して更新します。

  9. CA 署名キー ペアをプラグイン トラスト ストアに設定した後、サービスを再起動します。

SnapCenterプラグインの証明書失効リスト(CRL)を構成する

タスク概要

  • 関連するCA証明書の最新のCRLファイルをダウンロードするには、 "SnapCenter CA証明書の証明書失効リストファイルを更新する方法"

  • SnapCenterプラグインは、事前に構成されたディレクトリ内の CRL ファイルを検索します。

  • SnapCenterプラグインの CRL ファイルのデフォルト ディレクトリは、'C:\Program Files\ NetApp\ SnapCenter\Snapcenter Plug-in Creator\ etc\crl' です。

手順

  1. キー CRL_PATH に対して、agent.properties ファイル内のデフォルト ディレクトリを変更および更新できます。

  2. このディレクトリには、複数のCRLファイルを格納できます。

    受信する証明書については、それぞれのCRLに対して検証が行われます。