Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

ONTAP 중재자 관리

기여자 netapp-sarajane netapp-aoife netapp-thomi netapp-dbagwell netapp-ranuk netapp-aaron-holt netapp-aherbin netapp-mwallis netapp-ahibbard thrisun

사용자 자격 증명 변경, 서비스 중지 및 재활성화, 서비스 상태 확인, 호스트 유지 관리를 위한 SCST 설치 또는 제거를 포함하여 ONTAP Mediator를 관리합니다. 또한 자체 서명된 인증서 다시 생성, 신뢰할 수 있는 타사 인증서로 대체, 인증서 관련 문제 해결 등의 인증서를 관리할 수 있습니다.

사용자 이름을 변경합니다

다음 절차를 사용하여 사용자 이름을 변경할 수 있습니다.

이 작업에 대해

ONTAP Mediator를 설치한 Linux 호스트에서 이 작업을 수행합니다.

이 명령에 액세스할 수 없는 경우 다음 예에 표시된 대로 전체 경로를 사용하여 명령을 실행해야 할 수 있습니다.

'/usr/local/bin/중재자_username'

단계

다음 옵션 중 하나를 선택하여 사용자 이름을 변경합니다.

  • * option (a) * : 명령을 실행합니다 mediator_change_user 를 클릭하고 다음 예에 표시된 프롬프트에 응답합니다.

     [root@mediator-host ~]# mediator_change_user
     Modify the Mediator API username by entering the following values:
         Mediator API User Name: mediatoradmin
                       Password:
     New Mediator API User Name: mediator
     The account username has been modified successfully.
     [root@mediator-host ~]#
  • * option(b) *: 다음 명령을 실행합니다.

    MDIATOR_USERNAME=중재자_PASSWORD=mediator2 MEDIATOR_NEW_USERNAME=mediatoradmin 중재자_CHANGE_USER

     [root@mediator-host ~]# MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD='mediator2' MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user
     The account username has been modified successfully.
     [root@mediator-host ~]#

암호를 변경합니다

다음 절차를 사용하여 암호를 변경할 수 있습니다.

이 작업에 대해

ONTAP Mediator를 설치한 Linux 호스트에서 이 작업을 수행합니다.

이 명령에 액세스할 수 없는 경우 다음 예에 표시된 대로 전체 경로를 사용하여 명령을 실행해야 할 수 있습니다.

'/usr/local/bin/중재자_change_password'

단계

다음 옵션 중 하나를 선택하여 암호를 변경합니다.

  • * option (a) * : 를 실행합니다 mediator_change_password 다음 예에 표시된 대로 명령을 실행하고 프롬프트에 응답합니다.

     [root@mediator-host ~]# mediator_change_password
     Change the Mediator API password by entering the following values:
        Mediator API User Name: mediatoradmin
                  Old Password:
                  New Password:
              Confirm Password:
     The password has been updated successfully.
     [root@mediator-host ~]#
  • * option(b) *: 다음 명령을 실행합니다.

    MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password

    이 예제에서는 암호가 "mediator1"에서 "mediator2"로 변경되었음을 보여 줍니다.

     [root@mediator-host ~]# MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password
     The password has been updated successfully.
     [root@mediator-host ~]#

ONTAP 중재자 중단

ONTAP Mediator를 중지하려면 다음 단계를 수행하세요.

단계
  1. ONTAP 중재자 중단:

    systemctl stop ontap_mediator

  2. SCST 중지:

    systemctl stop mediator-scst

  3. ONTAP Mediator 및 SCST 비활성화:

    systemctl diable ontap_mediator mediator-scst

ONTAP Mediator 다시 활성화

ONTAP Mediator를 다시 활성화하려면 다음 단계를 수행하세요.

단계
  1. ONTAP Mediator 및 SCST 활성화:

    systemctl enable ontap_mediator mediator-scst

  2. SCST 시작:

    systemctl start mediator-scst

  3. ONTAP 중재자 시작:

    systemctl start ontap_mediator

ONTAP Mediator가 정상인지 확인하세요

ONTAP Mediator를 설치한 후 성공적으로 실행되는지 확인하세요.

단계
  1. ONTAP Mediator의 상태를 확인하세요:

    1. systemctl status ontap_mediator

      [root@scspr1915530002 ~]# systemctl status ontap_mediator
      
       ontap_mediator.service - ONTAP Mediator
      Loaded: loaded (/etc/systemd/system/ontap_mediator.service; enabled; vendor preset: disabled)
      Active: active (running) since Mon 2022-04-18 10:41:49 EDT; 1 weeks 0 days ago
      Process: 286710 ExecStop=/bin/kill -s INT $MAINPID (code=exited, status=0/SUCCESS)
      Main PID: 286712 (uwsgi)
      Status: "uWSGI is ready"
      Tasks: 3 (limit: 49473)
      Memory: 139.2M
      CGroup: /system.slice/ontap_mediator.service
            ├─286712 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
            ├─286716 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
            └─286717 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
      
      [root@scspr1915530002 ~]#
    2. systemctl status mediator-scst

      [root@scspr1915530002 ~]# systemctl status mediator-scst
         Loaded: loaded (/etc/systemd/system/mediator-scst.service; enabled; vendor preset: disabled)
         Active: active (running) since Mon 2022-04-18 10:41:47 EDT; 1 weeks 0 days ago
        Process: 286595 ExecStart=/etc/init.d/scst start (code=exited, status=0/SUCCESS)
       Main PID: 286662 (iscsi-scstd)
          Tasks: 1 (limit: 49473)
         Memory: 1.2M
         CGroup: /system.slice/mediator-scst.service
                 └─286662 /usr/local/sbin/iscsi-scstd
      
      [root@scspr1915530002 ~]#
  2. ONTAP Mediator에서 사용하는 포트를 확인하세요.

    netstat

    [root@scspr1905507001 ~]# netstat -anlt | grep -E '3260|31784'
    
             tcp   0   0 0.0.0.0:31784   0.0.0.0:*      LISTEN
    
             tcp   0   0 0.0.0.0:3260    0.0.0.0:*      LISTEN
    
             tcp6  0   0 :::3260         :::*           LISTEN

ONTAP Mediator 제거

필요한 경우 ONTAP Mediator를 제거할 수 있습니다.

시작하기 전에

ONTAP을 제거하기 전에 ONTAP Mediator와 ONTAP의 연결을 해제해야 합니다.

이 작업에 대해

ONTAP Mediator를 설치한 Linux 호스트에서 이 작업을 수행합니다.

이 명령에 액세스할 수 없는 경우 다음 예에 표시된 대로 전체 경로를 사용하여 명령을 실행해야 할 수 있습니다.

'/usr/local/bin/uninstall_ontap_중재자'

단계
  1. ONTAP Mediator 제거:

    uninstall_ontap_중재자

     [root@mediator-host ~]# uninstall_ontap_mediator
    
     ONTAP Mediator: Self Extracting Uninstaller
    
     + Removing ONTAP Mediator. (Log: /tmp/ontap_mediator.GmRGdA/uninstall_ontap_mediator/remove.log)
     + Remove successful.
     [root@mediator-host ~]#

자체 서명된 임시 인증서를 다시 생성합니다

ONTAP mediator 1.7부터 다음 절차에 따라 자체 서명된 임시 인증서를 다시 생성할 수 있습니다.

참고 이 절차는 ONTAP mediator 1.7 이상을 실행하는 시스템에서만 지원됩니다.
이 작업에 대해
  • ONTAP Mediator를 설치한 Linux 호스트에서 이 작업을 수행합니다.

  • ONTAP Mediator를 설치한 후 호스트 이름이나 호스트의 IP 주소가 변경되어 생성된 자체 서명 인증서가 더 이상 사용되지 않는 경우에만 이 작업을 수행할 수 있습니다.

  • 임시 자체 서명된 인증서가 신뢰할 수 있는 타사 인증서로 대체되면 이 작업을 사용하여 인증서를 다시 생성합니다. 자체 서명된 인증서가 없으면 이 절차가 실패합니다.

단계

현재 호스트에 대해 자체 서명된 새 임시 인증서를 다시 생성하려면 다음 단계를 수행하십시오.

  1. ONTAP Mediator를 다시 시작하세요:

    ./make_self_signed_certs.sh overwrite

    [root@xyz000123456 ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
    [root@xyz000123456 server_config]# ./make_self_signed_certs.sh overwrite
    
    Adding Subject Alternative Names to the self-signed server certificate
    #
    # OpenSSL example configuration file.
    Generating self-signed certificates
    Generating RSA private key, 4096 bit long modulus (2 primes)
    ..................................................................................................................................................................++++
    ........................................................++++
    e is 65537 (0x010001)
    Generating a RSA private key
    ................................................++++
    .............................................................................................................................................++++
    writing new private key to 'ontap_mediator_server.key'
    -----
    Signature ok
    subject=C = US, ST = California, L = San Jose, O = "NetApp, Inc.", OU = ONTAP Core Software, CN = ONTAP Mediator, emailAddress = support@netapp.com
    Getting CA Private Key

자체 서명된 인증서를 신뢰할 수 있는 타사 인증서로 바꿉니다

지원되는 경우 자체 서명된 인증서를 신뢰할 수 있는 타사 인증서로 바꿀 수 있습니다.

주의
  • 타사 인증서는 ONTAP 9.16.1 및 일부 이전 ONTAP 패치 릴리스에서만 지원됩니다. 을 "NetApp 버그 온라인 버그 ID CONTAP-243278"참조하십시오.

  • 타사 인증서는 ONTAP mediator 1.7 이상을 실행하는 시스템에서만 지원됩니다.

이 작업에 대해
  • ONTAP Mediator를 설치한 Linux 호스트에서 이 작업을 수행합니다.

  • 생성된 자체 서명된 인증서를 신뢰할 수 있는 하위 CA(인증 기관)에서 가져온 인증서로 교체해야 하는 경우 이 작업을 수행할 수 있습니다. 이렇게 하려면 신뢰할 수 있는 PKI(공개 키 인프라) 권한에 액세스할 수 있어야 합니다.

  • 다음 이미지는 각 ONTAP 중재자 인증서의 용도를 보여 줍니다.

    ONTAP 중재자 인증서 용도

  • 다음 이미지는 웹 서버 설정과 ONTAP Mediator 설정에 대한 구성을 보여줍니다.

    웹 서버 설정 및 ONTAP Mediator 설정 구성

1단계: CA 인증서를 발급하는 타사로부터 인증서를 얻습니다

다음 절차를 사용하여 PKI 기관으로부터 인증서를 얻을 수 있습니다.

다음 예제에서는 자체 서명된 인증서 액터를 에 있는 타사 인증서 액터로 바꾸는 방법을 보여 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ 줍니다.

참고

이 예는 ONTAP Mediator에 필요한 인증서에 대한 필수 기준을 보여줍니다. 이 절차와 다른 방법으로 PKI 기관으로부터 인증서를 얻을 수 있습니다. 비즈니스 요구에 따라 절차를 조정합니다.

ONTAP 중재자 1.9 이상
  1. PKI 기관에서 인증서를 생성하기 위해 사용할 개인 키와 구성 파일을 openssl_ca.cnf 만듭니다 intermediate.key.

    1. 개인 키를 `intermediate.key`생성합니다.

      • 예 *

    openssl genrsa -aes256 -out intermediate.key 4096

    1. 구성 파일 openssl_ca.cnf (에 위치 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf)은 생성된 인증서에 있어야 하는 속성을 정의합니다.

  2. 개인 키 및 구성 파일을 사용하여 인증서 서명 요청을 만듭니다 intermediate.csr.

    • 예: *

      openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf

    [root@scs000216655 server_config]# openssl req -key intermediate.key -new -config openssl_ca.cnf -out intermediate.csr
    Enter pass phrase for intermediate.key:
    [root@scs000216655 server_config]# cat intermediate.csr
    -----BEGIN CERTIFICATE REQUEST-----
    <certificate_value>
    -----END CERTIFICATE REQUEST-----
  3. PKI 기관에 인증서 서명 요청을 보내 intermediate.csr 서명을 받습니다.

    PKI 권한은 요청을 확인하고 에 서명하여 .csr`인증서를 `intermediate.crt`생성합니다. 또한 PKI 기관으로부터 인증서에 서명한 인증서를 얻어야 `root_intermediate.crt intermediate.crt 합니다.

    참고 SM-BC(SnapMirror Business Continuity) 클러스터의 경우 및 인증서를 ONTAP 클러스터에 추가해야 intermediate.crt root_intermediate.crt 합니다. 을 "SnapMirror Active Sync를 위한 ONTAP Mediator 및 클러스터 구성"참조하십시오.
ONTAP 중재자 1.8 이하
  1. PKI 기관에서 인증서를 생성하기 위해 사용할 개인 키와 구성 파일을 openssl_ca.cnf 만듭니다 ca.key.

    1. 개인 키를 `ca.key`생성합니다.

      • 예 *

    openssl genrsa -aes256 -out ca.key 4096

    1. 구성 파일 openssl_ca.cnf (에 위치 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf)은 생성된 인증서에 있어야 하는 속성을 정의합니다.

  2. 개인 키 및 구성 파일을 사용하여 인증서 서명 요청을 만듭니다 ca.csr.

    • 예: *

      openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf

    [root@scs000216655 server_config]# openssl req -key ca.key -new -config openssl_ca.cnf -out ca.csr
    Enter pass phrase for ca.key:
    [root@scs000216655 server_config]# cat ca.csr
    -----BEGIN CERTIFICATE REQUEST-----
    <certificate_value>
    -----END CERTIFICATE REQUEST-----
  3. PKI 기관에 인증서 서명 요청을 보내 ca.csr 서명을 받습니다.

    PKI 권한은 요청을 확인하고 에 서명하여 .csr`인증서를 `ca.crt`생성합니다. 또한 PKI 기관으로부터 인증서를 얻어야 `root_ca.crt that signed the `ca.crt 합니다.

    참고 SM-BC(SnapMirror Business Continuity) 클러스터의 경우 및 인증서를 ONTAP 클러스터에 추가해야 ca.crt root_ca.crt 합니다. 을 "SnapMirror Active Sync를 위한 ONTAP Mediator 및 클러스터 구성"참조하십시오.

2단계: 타사 CA 인증서로 서명하여 서버 인증서를 생성합니다

ONTAP 중재자 1.9 이상

서버 인증서는 개인 키 및 타사 인증서로 intermediate.crt 서명해야 intermediate.key 합니다. 또한 구성 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf 파일에는 OpenSSL에서 발급한 서버 인증서에 필요한 속성을 지정하는 특정 특성이 포함되어 있습니다.

다음 명령을 사용하여 서버 인증서를 생성할 수 있습니다.

단계
  1. 서버 CSR(인증서 서명 요청)을 생성하려면 폴더에서 다음 명령을 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config 실행합니다.

    openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr

  2. CSR에서 서버 인증서를 생성하려면 폴더에서 다음 명령을 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config 실행합니다.

    참고 이러한 파일은 PKI 기관에서 가져왔습니다. 다른 인증서 이름을 사용하는 경우 intermediate.crt 및 를 intermediate.key 관련 파일 이름으로 바꿉니다.

    openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA intermediate.crt -CAkey intermediate.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt

    • -CAcreateserial 옵션은 파일을 생성하는 데 intermediate.srl 사용됩니다.

ONTAP 중재자 1.8 이하

서버 인증서는 개인 키 및 타사 인증서로 ca.crt 서명해야 ca.key 합니다. 또한 구성 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf 파일에는 OpenSSL에서 발급한 서버 인증서에 필요한 속성을 지정하는 특정 특성이 포함되어 있습니다.

다음 명령을 사용하여 서버 인증서를 생성할 수 있습니다.

단계
  1. 서버 CSR(인증서 서명 요청)을 생성하려면 폴더에서 다음 명령을 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config 실행합니다.

    openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr

  2. CSR에서 서버 인증서를 생성하려면 폴더에서 다음 명령을 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config 실행합니다.

    참고 이러한 파일은 PKI 기관에서 가져왔습니다. 다른 인증서 이름을 사용하는 경우 ca.crt 및 를 ca.key 관련 파일 이름으로 바꿉니다.

    openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA ca.crt -CAkey ca.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt

    • -CAcreateserial 옵션은 파일을 생성하는 데 ca.srl 사용됩니다.

3단계: ONTAP 중재자 구성에서 새로운 타사 CA 인증서와 서버 인증서를 교체합니다

ONTAP 중재자 1.9 이상

인증서 구성은 다음 위치에 있는 구성 파일에서 ONTAP Mediator에 제공됩니다. /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml . 이 파일에는 다음과 같은 속성이 포함되어 있습니다.

cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'
  • cert_pathkey_path 서버 인증서 변수입니다.

  • ca_cert_path, ca_key_path, 및 ca_serial_path CA 인증서 변수입니다.

단계
  1. 모든 intermediate.* 파일을 타사 인증서로 바꿉니다.

  2. 및 인증서에서 인증서 체인을 intermediate.crt ontap_mediator_server.crt 생성합니다.

    cat ontap_mediator_server.crt intermediate.crt > ontap_mediator_server_chain.crt

  3. `/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini`파일을 업데이트합니다.

    , 및 의 값을 mediator_cert mediator_key `ca_certificate`업데이트합니다.

    set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

    set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

    set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_intermediate.crt

    • mediator_cert`값은 파일의 경로입니다. `ontap_mediator_server_chain.crt

    • mediator_key value`는 파일의 키 경로입니다. `ontap_mediator_server.crt ontap_mediator_server.key

    • ca_certificate`값은 파일의 경로입니다. `root_intermediate.crt

  4. 새로 생성된 인증서의 다음 특성이 올바르게 설정되었는지 확인합니다.

    • Linux 그룹 소유자: netapp:netapp

    • Linux 권한: 600

  5. ONTAP Mediator를 다시 시작하세요:

    systemctl restart ontap_mediator

ONTAP 중재자 1.8 이하

인증서 구성은 다음 위치에 있는 구성 파일에서 ONTAP Mediator에 제공됩니다. /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml . 이 파일에는 다음과 같은 속성이 포함되어 있습니다.

cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'
  • cert_pathkey_path 서버 인증서 변수입니다.

  • ca_cert_path, ca_key_path, 및 ca_serial_path CA 인증서 변수입니다.

단계
  1. 모든 ca.* 파일을 타사 인증서로 바꿉니다.

  2. 및 인증서에서 인증서 체인을 ca.crt ontap_mediator_server.crt 생성합니다.

    cat ontap_mediator_server.crt ca.crt > ontap_mediator_server_chain.crt

  3. `/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini`파일을 업데이트합니다.

    , 및 의 값을 mediator_cert mediator_key `ca_certificate`업데이트합니다.

    set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

    set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

    set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_ca.crt

    • mediator_cert`값은 파일의 경로입니다. `ontap_mediator_server_chain.crt

    • mediator_key value`는 파일의 키 경로입니다. `ontap_mediator_server.crt ontap_mediator_server.key

    • ca_certificate`값은 파일의 경로입니다. `root_ca.crt

  4. 새로 생성된 인증서의 다음 특성이 올바르게 설정되었는지 확인합니다.

    • Linux 그룹 소유자: netapp:netapp

    • Linux 권한: 600

  5. ONTAP Mediator를 다시 시작하세요:

    systemctl restart ontap_mediator

4단계: 타사 인증서에 다른 경로나 이름을 사용할 수도 있습니다

ONTAP 중재자 1.9 이상

이 아닌 다른 이름을 가진 타사 인증서를 사용하거나 타사 인증서를 다른 위치에 저장할 수 intermediate.* 있습니다.

단계
  1. /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml`파일의 기본 변수 값을 재정의하도록 파일을 `ontap_mediator.config.yaml 구성합니다.

    PKI 권한으로부터 얻은 intermediate.crt 개인 키를 해당 위치에 저장하면 intermediate.key /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config ontap_mediator.user_config.yaml 파일은 다음 예제와 같이 표시됩니다.

    참고 인증서에 서명하는 데 사용한 경우 intermediate.crt ontap_mediator_server.crt intermediate.srl 파일이 생성됩니다. 자세한 내용은 을 2단계: 타사 CA 인증서로 서명하여 서버 인증서를 생성합니다 참조하십시오.
    [root@scs000216655 server_config]# cat  ontap_mediator.user_config.yaml
    
    # This config file can be used to override the default settings in ontap_mediator.config.yaml
    # To override a setting, copy the property key from ontap_mediator.config.yaml to this file and
    # set the property to the desired value. e.g.,
    #
    # The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml
    #
    # To override this value with 6 mailboxes per target, add the following key/value pair
    # below this comment:
    #
    # 'default_mailboxes_per_target': 6
    #
    cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
    key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
    ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt'
    ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key'
    ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'
    1. 인증서가 인증서를 서명하는 인증서를 제공하는 인증서 구조를 사용하는 경우 root_intermediate.crt intermediate.crt ontap_mediator_server.crt 및 인증서에서 인증서 체인을 만듭니다 intermediate.crt ontap_mediator_server.crt .

      참고 절차의 앞부분에 있는 PKI 기관으로부터 및 인증서를 받아야 intermediate.crt ontap_mediator_server.crt 합니다.

      cat ontap_mediator_server.crt intermediate.crt > ontap_mediator_server_chain.crt

    2. `/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini`파일을 업데이트합니다.

      , 및 의 값을 mediator_cert mediator_key `ca_certificate`업데이트합니다.

      set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

      set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

      set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_intermediate.crt

      • mediator_cert`값은 파일의 경로입니다. `ontap_mediator_server_chain.crt

      • mediator_key`값은 파일의 키 경로입니다. `ontap_mediator_server.crt ontap_mediator_server.key

      • ca_certificate`값은 파일의 경로입니다. `root_intermediate.crt

        참고 SM-BC(SnapMirror Business Continuity) 클러스터의 경우 및 인증서를 ONTAP 클러스터에 추가해야 intermediate.crt root_intermediate.crt 합니다. 을 "SnapMirror Active Sync를 위한 ONTAP Mediator 및 클러스터 구성"참조하십시오.
    3. 새로 생성된 인증서의 다음 특성이 올바르게 설정되었는지 확인합니다.

      • Linux 그룹 소유자: netapp:netapp

      • Linux 권한: 600

  2. 구성 파일에서 인증서가 업데이트되면 ONTAP Mediator를 다시 시작합니다.

    systemctl restart ontap_mediator

ONTAP 중재자 1.8 이하

이 아닌 다른 이름을 가진 타사 인증서를 사용하거나 타사 인증서를 다른 위치에 저장할 수 ca.* 있습니다.

단계
  1. /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml`파일의 기본 변수 값을 재정의하도록 파일을 `ontap_mediator.config.yaml 구성합니다.

    PKI 권한으로부터 얻은 ca.crt 개인 키를 해당 위치에 저장하면 ca.key /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config ontap_mediator.user_config.yaml 파일은 다음 예제와 같이 표시됩니다.

    참고 인증서에 서명하는 데 사용한 경우 ca.crt ontap_mediator_server.crt ca.srl 파일이 생성됩니다. 자세한 내용은 을 2단계: 타사 CA 인증서로 서명하여 서버 인증서를 생성합니다 참조하십시오.
    [root@scs000216655 server_config]# cat  ontap_mediator.user_config.yaml
    
    # This config file can be used to override the default settings in ontap_mediator.config.yaml
    # To override a setting, copy the property key from ontap_mediator.config.yaml to this file and
    # set the property to the desired value. e.g.,
    #
    # The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml
    #
    # To override this value with 6 mailboxes per target, add the following key/value pair
    # below this comment:
    #
    # 'default_mailboxes_per_target': 6
    #
    cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
    key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
    ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt'
    ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key'
    ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'
    1. 인증서가 인증서를 서명하는 인증서를 제공하는 인증서 구조를 사용하는 경우 root_ca.crt ca.crt ontap_mediator_server.crt 및 인증서에서 인증서 체인을 만듭니다 ca.crt ontap_mediator_server.crt .

      참고 절차의 앞부분에 있는 PKI 기관으로부터 및 인증서를 받아야 ca.crt ontap_mediator_server.crt 합니다.

      cat ontap_mediator_server.crt ca.crt > ontap_mediator_server_chain.crt

    2. `/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini`파일을 업데이트합니다.

      , 및 의 값을 mediator_cert mediator_key `ca_certificate`업데이트합니다.

      set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

      set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

      set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_ca.crt

      • mediator_cert`값은 파일의 경로입니다. `ontap_mediator_server_chain.crt

      • mediator_key`값은 파일의 키 경로입니다. `ontap_mediator_server.crt ontap_mediator_server.key

      • ca_certificate`값은 파일의 경로입니다. `root_ca.crt

        참고 SM-BC(SnapMirror Business Continuity) 클러스터의 경우 및 인증서를 ONTAP 클러스터에 추가해야 ca.crt root_ca.crt 합니다. 을 "SnapMirror Active Sync를 위한 ONTAP Mediator 및 클러스터 구성"참조하십시오.
    3. 새로 생성된 인증서의 다음 특성이 올바르게 설정되었는지 확인합니다.

      • Linux 그룹 소유자: netapp:netapp

      • Linux 권한: 600

  2. 구성 파일에서 인증서가 업데이트되면 ONTAP Mediator를 다시 시작합니다.

    systemctl restart ontap_mediator

인증서 관련 문제 해결

인증서의 특정 속성을 확인할 수 있습니다.

인증서 만료 여부를 확인합니다

다음 명령을 사용하여 인증서 유효 범위를 식별합니다.

ONTAP 중재자 1.9 이상
[root@mediator_host server_config]# openssl x509 -in intermediate.crt -text -noout
Certificate:
    Data:
...
        Validity
            Not Before: Feb 22 19:57:25 2024 GMT
            Not After : Feb 15 19:57:25 2029 GMT
ONTAP 중재자 1.8 이하
[root@mediator_host server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...
        Validity
            Not Before: Feb 22 19:57:25 2024 GMT
            Not After : Feb 15 19:57:25 2029 GMT

CA 인증에서 X509v3 확장을 확인합니다

다음 명령을 사용하여 CA 인증에서 X509v3 확장을 확인합니다.

ONTAP 중재자 1.9 이상

openssl_ca.cnf 정의된 속성이 v3_ca 에서와 같이 X509v3 extensions intermediate.crt 표시됩니다.

[root@mediator_host server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@mediator_host server_config]# cat openssl_ca.cnf
...
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, cRLSign, digitalSignature, keyCertSign

[root@mediator_host server_config]# openssl x509 -in intermediate.crt -text -noout
Certificate:
    Data:
...
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
            X509v3 Authority Key Identifier:
                keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27

            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign
ONTAP 중재자 1.8 이하

openssl_ca.cnf 정의된 속성이 v3_ca 에서와 같이 X509v3 extensions ca.crt 표시됩니다.

[root@mediator_host server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@mediator_host server_config]# cat openssl_ca.cnf
...
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, cRLSign, digitalSignature, keyCertSign

[root@mediator_host server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
            X509v3 Authority Key Identifier:
                keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27

            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign

서버 인증서 및 주체 대체 이름에서 X509v3 확장을 확인합니다

를 클릭합니다 v3_req 에 정의된 속성 openssl_server.cnf 구성 파일은 로 표시됩니다 X509v3 extensions 인증서에 입력합니다.

다음 예에서는 변수를 얻을 수 있습니다. alt_names 명령을 실행하여 섹션을 만듭니다. hostname -A 그리고 hostname -I ONTAP Mediator가 설치된 Linux VM에서.

변수의 올바른 값은 네트워크 관리자에게 문의하십시오.

ONTAP 중재자 1.9 이상
[root@mediator_host server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@mediator_host server_config]# cat openssl_server.cnf
...
[ v3_req ]
basicConstraints       = CA:false
extendedKeyUsage       = serverAuth
keyUsage               = keyEncipherment, dataEncipherment
subjectAltName         = @alt_names

[ alt_names ]
DNS.1 = abc.company.com
DNS.2 = abc-v6.company.com
IP.1 = 1.2.3.4
IP.2 = abcd:abcd:abcd:abcd:abcd:abcd

[root@mediator_host server_config]# openssl x509 -in intermediate.crt -text -noout
Certificate:
    Data:
...

        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Key Usage:
                Key Encipherment, Data Encipherment
            X509v3 Subject Alternative Name:
                DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd
ONTAP 중재자 1.8 이하
[root@mediator_host server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@mediator_host server_config]# cat openssl_server.cnf
...
[ v3_req ]
basicConstraints       = CA:false
extendedKeyUsage       = serverAuth
keyUsage               = keyEncipherment, dataEncipherment
subjectAltName         = @alt_names

[ alt_names ]
DNS.1 = abc.company.com
DNS.2 = abc-v6.company.com
IP.1 = 1.2.3.4
IP.2 = abcd:abcd:abcd:abcd:abcd:abcd

[root@mediator_host server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...

        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Key Usage:
                Key Encipherment, Data Encipherment
            X509v3 Subject Alternative Name:
                DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd

개인 키가 인증서와 일치하는지 확인합니다

특정 개인 키가 인증서와 일치하는지 확인할 수 있습니다.

키와 인증서에 각각 다음 OpenSSL 명령을 사용합니다.

ONTAP 중재자 1.9 이상
[root@mediator_host server_config]# openssl rsa -noout -modulus -in intermediate.key | openssl md5
Enter pass phrase for intermediate.key:
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
[root@mediator_host server_config]# openssl x509 -noout -modulus -in intermediate.crt | openssl md5
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
ONTAP 중재자 1.8 이하
[root@mediator_host server_config]# openssl rsa -noout -modulus -in ca.key | openssl md5
Enter pass phrase for ca.key:
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
[root@mediator_host server_config]# openssl x509 -noout -modulus -in ca.crt | openssl md5
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc

를 누릅니다 -modulus 특성 일치 모두에 대해 개인 키와 인증서 쌍이 호환되며 서로 작동할 수 있음을 나타냅니다.

서버 인증서가 특정 CA 인증서에서 생성되었는지 확인합니다

다음 명령을 사용하여 서버 인증서가 특정 CA 인증서에서 생성되었는지 확인할 수 있습니다.

ONTAP 중재자 1.9 이상
[root@mediator_host server_config]# openssl verify -CAfile root_ca.crt --untrusted intermediate.crt ontap_mediator_server.crt
ontap_mediator_server.crt: OK
[root@mediator_host server_config]#
ONTAP 중재자 1.8 이하
[root@mediator_host server_config]# openssl verify -CAfile ca.crt ontap_mediator_server.crt
ontap_mediator_server.crt: OK

OCSP(Online Certificate Status Protocol) 유효성 검사가 사용 중인 경우 명령을 "OpenSSL - 확인"사용합니다.