Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurar comunicação SSL bidirecional no host Linux

Colaboradores
PDFs

Você deve configurar a comunicação SSL bidirecional para proteger a comunicação mútua entre o servidor SnapCenter no host Linux e os plug-ins.

Antes de começar

  • Você deve ter configurado o certificado CA para o host Linux.

  • Você deve ter habilitado a comunicação SSL bidirecional em todos os hosts de plug-in e no servidor SnapCenter.

Passos

  1. Copiar certificate.pem para /etc/pki/CA-trust/source/ancors/.

  2. Adicione os certificados na lista de confiança do seu host Linux.

    • cp root-ca.pem /etc/pki/ca-trust/source/anchors/

    • cp certificate.pem /etc/pki/ca-trust/source/anchors/

    • update-ca-trust extract

  3. Verifique se os certificados foram adicionados à lista de confiança. trust list | grep "<CN of your certificate>"

  4. Atualize ssl_certificate e ssl_certificate_key no arquivo SnapCenter nginx e reinicie.

    • vim /etc/nginx/conf.d/snapcenter.conf

    • systemctl restart nginx

  5. Atualize o link da GUI do servidor SnapCenter.

  6. Atualize os valores das seguintes chaves em SnapManager.Web.UI.dll.config localizado em _ /<installation path>/NetApp/SnapCenter/SnapManagerWeb_ e SMCoreServiceHost.dll.config localizado em /<installation path>/NetApp/SnapCenter/SMCore.

    • <add key="SERVICE_CERTIFICATE_PATH" value="<path of certificate.pfx>" />

    • <add key="SERVICE_CERTIFICATE_PASSWORD" value="<password>"/>

  7. Reinicie os seguintes serviços.

    • systemctl restart smcore.service

    • systemctl restart snapmanagerweb.service

  8. Verifique se o certificado está anexado à porta da Web do SnapManager. openssl s_client -connect localhost:8146 -brief

  9. Verifique se o certificado está anexado à porta smcore. openssl s_client -connect localhost:8145 -brief

  10. Gerenciar senha para o keystore SPL e alias.

    1. Recupere a senha padrão do keystore SPL atribuída à chave SPL_KEYSTORE_PASS no arquivo de propriedades SPL.

    2. Altere a senha do keystore. keytool -storepasswd -keystore keystore.jks

    3. Altere a senha para todos os aliases de entradas de chave privada. keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks

    4. Atualize a mesma senha para a chave SPL_KEYSTORE_PASS em spl.properties.

    5. Reinicie o serviço.

  11. No host Linux plug-in, adicione os certificados raiz e intermediários no keystore do plug-in SPL.

    • keytool -import -trustcacerts -alias <any preferred alias name> -file <path of root-ca.pem> -keystore <path of keystore.jks mentioned in spl.properties file>

    • keytool -importkeystore -srckeystore <path of certificate.pfx> -srcstoretype pkcs12 -destkeystore <path of keystore.jks mentioned in spl.properties file> -deststoretype JKS

      1. Verifique as entradas no keystore.jks. keytool -list -v -keystore <path to keystore.jks>

      2. Renomeie qualquer alias, se necessário. keytool -changealias -alias "old-alias" -destalias "new-alias" -keypass keypass -keystore </path/to/keystore> -storepass storepas

  12. Atualize o valor de SPL_CERTIFICATE_ALIAS no arquivo spl.properties com o alias de certificate.pfx armazenado em keystore.jks e reinicie o serviço SPL: systemctl restart spl

  13. Verifique se o certificado está anexado à porta smcore. openssl s_client -connect localhost:8145 -brief