Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurar comunicação SSL bidirecional no host Windows

Colaboradores
PDFs

Você deve configurar a comunicação SSL bidirecional para proteger a comunicação mútua entre o servidor SnapCenter no host Windows e os plug-ins.

Antes de começar

  • Você deve ter gerado o arquivo CSR do certificado CA com o comprimento mínimo de chave suportado de 3072.

  • O certificado CA deve suportar autenticação de servidor e autenticação de cliente.

  • Você deve ter um certificado CA com chave privada e detalhes de impressão digital.

  • Você deve ter habilitado a configuração SSL unidirecional.

    Para obter mais detalhes, consulte "Configurar a seção certificado CA."

  • Você deve ter habilitado a comunicação SSL bidirecional em todos os hosts de plug-in e no servidor SnapCenter.

    O ambiente com alguns hosts ou servidor não habilitado para comunicação SSL bidirecional não é suportado.

Passos

  1. Para vincular a porta, execute as etapas a seguir no host do servidor SnapCenter para a porta 8146 do servidor Web do SnapCenter IIS (padrão) e novamente para a porta 8145 do SMCore (padrão) usando comandos do PowerShell.

    1. Remova a vinculação de porta de certificado auto-assinada do SnapCenter existente usando o seguinte comando PowerShell.

      > netsh http delete sslcert ipport=0.0.0.0:<SMCore port/IIS port>

      Por exemplo,

      > netsh http delete sslcert ipport=0.0.0.0:8145

      > netsh http delete sslcert ipport=0.0.0.0:8146

    2. Vincule o certificado CA recém-adquirido com o servidor SnapCenter e a porta SMCore.

      > $cert = “<CA_certificate thumbprint>”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0: <SMCore Port/IIS port> certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > netsh http show sslcert ipport=0.0.0.0:<SMCore Port/IIS port>

      Por exemplo,

      > $cert = “abc123abc123abc123abc123”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0:8146 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0:8145 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > netsh http show sslcert ipport=0.0.0.0:8146

    > netsh http show sslcert ipport=0.0.0.0:8145

  2. Para acessar a permissão ao certificado da CA, adicione o usuário padrão do servidor Web IIS "SnapCenter" do SnapCenter na lista de permissões do certificado executando as etapas a seguir para acessar o certificado da CA recém-adquirida.

    1. Vá para o console de gerenciamento da Microsoft (MMC) e clique em File > Add/Remove SnapIn.

    2. Na janela Adicionar ou remover snap-ins, selecione certificados e clique em Adicionar.

    3. Na janela de snap-in certificados, selecione a opção conta de computador e clique em concluir.

    4. Clique em raiz da consola > certificados – computador local > Pessoal > certificados.

    5. Selecione o certificado SnapCenter.

    6. Para iniciar o assistente adicionar usuário/permissão, clique com o botão direito do Mouse no certificado da CA e selecione todas as tarefas > Gerenciar chaves privadas.

    7. Clique em Add, no assistente Select Users and Groups (Selecionar usuários e grupos) altere o local para o nome do computador local (mais importante na hierarquia)

    8. Adicione o usuário do AppPool/SnapCenter do IIS, dê permissões de controle total.

  3. Para permissão IIS de certificado CA, adicione a nova entrada de chaves de Registro DWORD no servidor SnapCenter a partir do seguinte caminho:

    No editor de Registro do Windows, percorra para o caminho abaixo mencionado,

    HKey_Local_Machine\SYSTEM\CurrentControlSet\Control\SecurityProv ders\SCHANNEL

  4. Crie uma nova entrada de chave de Registro DWORD no contexto da configuração DO REGISTRO SCHANNEL.

    SendTrustedIssuerList = 0

    ClientAuthTrustMode = 2

Configure o plug-in do SnapCenter para comunicação SSL bidirecional

Você deve configurar o plug-in do SnapCenter para comunicação SSL bidirecional usando comandos do PowerShell.

Antes de começar

Verifique se a impressão digital do certificado CA está disponível.

Passos

  1. Para vincular a porta, execute as seguintes ações no host de plug-in do Windows para a porta SMCore 8145 (padrão).

    1. Remova a vinculação de porta de certificado auto-assinada do SnapCenter existente usando o seguinte comando PowerShell.

      > netsh http delete sslcert ipport=0.0.0.0:<SMCore port>

      Por exemplo,

      > netsh http delete sslcert ipport=0.0.0.0:8145

    2. Vincule o certificado CA recém-adquirido com a porta SMCore.

      > $cert = “<CA_certificate thumbprint>”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0: <SMCore Port> certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > netsh http show sslcert ipport=0.0.0.0:<SMCore Port>

      Por exemplo,

      > $cert = “abc123abc123abc123abc123”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0:8145 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

    > netsh http show sslcert ipport=0.0.0.0:8145