Skip to main content
SnapCenter software
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configure o certificado CA para o serviço de plug-ins IBM DB2 do SnapCenter no host Linux

Colaboradores netapp-soumikd netapp-nsriram
PDFs

Você deve gerenciar a senha do keystore do plug-in e seu certificado, configurar o certificado da CA, configurar certificados raiz ou intermediários para o trust-store do plug-in e configurar o par de chaves assinadas pela CA para o trust-store do plug-in com o serviço de plug-ins do SnapCenter para ativar o certificado digital instalado.

Os plug-ins usam o arquivo 'keystore.jks', que está localizado em /opt/NetApp/snapcenter/scc/etc como seu armazenamento confiável e armazenamento de chaves.

Gerenciar senha para keystore de plug-in e alias do par de chaves assinadas pela CA em uso

Passos

  1. Você pode recuperar a senha padrão do keystore do plug-in a partir do arquivo de propriedades do agente do plug-in.

    É o valor correspondente à chave 'KEYSTORE_PASS'.

  2. Altere a senha do keystore:

     keytool -storepasswd -keystore keystore.jks
. Altere a senha para todos os aliases de entradas de chave privada no keystore para a mesma senha usada para o keystore:
    keytool -keypasswd -alias "alias_name_in_cert" -keystore keystore.jks

    Atualize o mesmo para a chave KEYSTORE_PASS no arquivo agent.properties.

  3. Reinicie o serviço depois de alterar a senha.

Observação A senha para o keystore do plug-in e para todas as senhas de alias associadas da chave privada deve ser a mesma.

Configurar certificados raiz ou intermediários para plug-in trust-store

Você deve configurar os certificados raiz ou intermediários sem a chave privada para conectar o trust-store.

Passos

  1. Navegue até a pasta que contém o keystore do plug-in: /opt/NetApp/snapcenter/scc/etc.

  2. Localize o arquivo 'keystore.jks'.

  3. Liste os certificados adicionados no keystore:

    keytool -list -v -keystore keystore.jks

  4. Adicione um certificado raiz ou intermediário:

     keytool -import -trustcacerts -alias myRootCA -file /root/USERTrustRSA_Root.cer -keystore keystore.jks
. Reinicie o serviço após configurar os certificados raiz ou intermediários para conectar o trust-store.
Observação Você deve adicionar o certificado de CA raiz e, em seguida, os certificados de CA intermediários.

Configurar o par de chaves assinadas pela CA para plug-in de armazenamento confiável

Você deve configurar o par de chaves assinadas pela CA para o trust-store do plug-in.

Passos

  1. Navegue até a pasta que contém o keystore do plug-in /opt/NetApp/snapcenter/scc/etc.

  2. Localize o arquivo 'keystore.jks'.

  3. Liste os certificados adicionados no keystore:

    keytool -list -v -keystore keystore.jks

  4. Adicione o certificado da CA com chave privada e pública.

    keytool -importkeystore -srckeystore /root/snapcenter.ssl.test.netapp.com.pfx -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS

  5. Liste os certificados adicionados no keystore.

    keytool -list -v -keystore keystore.jks

  6. Verifique se o keystore contém o alias correspondente ao novo certificado da CA, que foi adicionado ao keystore.

  7. Altere a senha da chave privada adicionada para o certificado da CA para a senha do keystore.

    A senha padrão do keystore do plug-in é o valor da chave KEYSTORE_PASS no arquivo agent.properties.

     keytool -keypasswd -alias "alias_name_in_CA_cert" -keystore keystore.jks
. Se o nome do alias no certificado da CA for longo e contiver espaço ou carateres especiais ("*",","), altere o nome do alias para um nome simples:
     keytool -changealias -alias "long_alias_name" -destalias "simple_alias" -keystore keystore.jks
. Configure o nome do alias do certificado CA no arquivo agent.properties.

    Atualize este valor com a chave SCC_CERTIFICATE_ALIAS.

  8. Reinicie o serviço após configurar o par de chaves assinadas pela CA para o plug-in trust-store.

Configurar a lista de revogação de certificados (CRL) para plug-ins

Sobre esta tarefa

  • Os plug-ins do SnapCenter procurarão os arquivos CRL em um diretório pré-configurado.

  • O diretório padrão para os arquivos CRL dos plug-ins SnapCenter é ' opt/NetApp/snapcenter/scc/etc/crl'.

Passos

  1. Você pode modificar e atualizar o diretório padrão no arquivo agent.properties contra a chave CRL_PATH.

    Você pode colocar mais de um arquivo CRL neste diretório. Os certificados recebidos serão verificados em relação a cada CRL.