Configure o certificado de CA para o serviço de plug-ins SAP HANA do SnapCenter no host do Windows
Você deve gerenciar a senha do armazenamento de chaves de plug-ins personalizados e seu certificado, configurar o certificado de CA, configurar certificados raiz ou intermediários para o armazenamento de confiança de plug-ins personalizados e configurar o par de chaves assinadas de CA para armazenamento de confiança de plug-ins personalizados personalizados com o serviço de plug-ins personalizados SnapCenter para ativar o certificado digital instalado.
Plug-ins personalizados usam o arquivo keystore.jks, que está localizado em _C: Arquivos de programas, NetApp, SnapCenter, SnapCenter Plug-in Creator, tanto como seu armazenamento de confiança e armazenamento de chaves.
Gerenciar senha para armazenamento de chaves plug-in personalizado e alias do par de chaves assinadas CA em uso
Passos
-
Você pode recuperar a senha padrão do keystore do plug-in personalizado do arquivo de propriedade do agente do plug-in personalizado.
É o valor correspondente à chave KEYSTORE_PASS.
-
Altere a senha do keystore:
keytool -storepasswd -keystore keystore.jks
Se o comando "keytool" não for reconhecido no prompt de comando do Windows, substitua o comando keytool por seu caminho completo. C: Arquivos de programas/<jdk_version>/keytool.exe" -storepasswd -keystore keystore.jks
-
Altere a senha para todos os aliases de entradas de chave privada no keystore para a mesma senha usada para o keystore:
keytool -keypasswd -alias "alias_name_in_cert" -keystore keystore.jks
Atualize o mesmo para a chave KEYSTORE_PASS no arquivo agent.properties.
-
Reinicie o serviço depois de alterar a senha.
A palavra-passe para o armazenamento de chaves plug-in personalizado e para todas as palavras-passe de alias associadas da chave privada deve ser a mesma.
Configure certificados raiz ou intermediários para armazenamento de confiança de plug-in personalizado
Você deve configurar os certificados raiz ou intermediários sem a chave privada para armazenamento de confiança de plug-in personalizado.
Passos
-
Navegue até a pasta que contém o armazenamento de chaves de plug-in personalizado C: Arquivos de programas/NetApp/SnapCenter/SnapCenter Plug-in Creator/etc
-
Localize o arquivo 'keystore.jks'.
-
Liste os certificados adicionados no keystore:
keytool -list -v -keystore keystore.jks
-
Adicione um certificado raiz ou intermediário:
Keytool -import -trustcacerts -alias myRootCA -file /root/USERTrustRSA_root.cer -keystore keystore.jks
-
Reinicie o serviço depois de configurar os certificados raiz ou intermédios para o armazenamento de confiança de plug-in personalizado.
Você deve adicionar o certificado de CA raiz e, em seguida, os certificados de CA intermediários. |
Configure o par de chaves assinadas da CA para o armazenamento de confiança de plug-in personalizado
Você deve configurar o par de chaves assinadas da CA para o armazenamento de confiança do plug-in personalizado.
Passos
-
Navegue até a pasta que contém o armazenamento de chaves de plug-in personalizado C: Arquivos de programas/NetApp/SnapCenter/SnapCenter Plug-in Creator/etc
-
Localize o arquivo keystore.jks.
-
Liste os certificados adicionados no keystore:
keytool -list -v -keystore keystore.jks
-
Adicione o certificado da CA com chave privada e pública.
Keytool -importkeystore -srckeystore /root/SnapCenter.ssl.test.NetApp.com.pfx -srcstoretype PKCS12 -destinkeystore keystore.jks -deststoretype JKS
-
Liste os certificados adicionados no keystore.
keytool -list -v -keystore keystore.jks
-
Verifique se o keystore contém o alias correspondente ao novo certificado da CA, que foi adicionado ao keystore.
-
Altere a senha da chave privada adicionada para o certificado da CA para a senha do keystore.
A senha padrão do keystore do plug-in personalizado é o valor da chave KEYSTORE_PASS no arquivo agent.properties.
Keytool -keypasswd -alias "alias_name_in_CA_cert" -keystore keystore.jks
-
Configure o nome do alias do certificado CA no arquivo agent.properties.
Atualize este valor com a chave SCC_CERTIFICATE_ALIAS.
-
Reinicie o serviço depois de configurar o par de chaves assinadas pela CA para o armazenamento de confiança de plug-in personalizado.
Configurar a lista de revogação de certificados (CRL) para plug-ins personalizados do SnapCenter
Sobre esta tarefa
-
Para transferir o ficheiro CRL mais recente para o certificado CA relacionado, "Como atualizar o arquivo de lista de revogação de certificados no certificado da CA do SnapCenter"consulte .
-
Os plug-ins personalizados do SnapCenter pesquisarão os arquivos CRL em um diretório pré-configurado.
-
O diretório padrão para os arquivos CRL para os plug-ins personalizados do SnapCenter é 'C: Arquivos de programas/NetApp/SnapCenter/SnapCenter Plug-in Creator etc/crl'.
Passos
-
Você pode modificar e atualizar o diretório padrão no arquivo agent.properties contra a chave CRL_PATH.
-
Você pode colocar mais de um arquivo CRL neste diretório.
Os certificados recebidos serão verificados em relação a cada CRL.