发行说明
管理 ONTAP 调解器服务
建议更改
PDF
管理ONTAP调解器服务、包括更改用户凭据、停止并重新启用该服务、验证其运行状况以及安装或卸载SCST以进行主机维护。您还可以管理证书、例如重新生成自签名证书、将其替换为受信任的第三方证书以及解决证书相关问题。
更改用户名
您可以使用以下操作步骤更改用户名。
在安装了ONTAP调解器服务的Linux主机上执行此任务。
如果无法访问此命令,则可能需要使用完整路径运行此命令,如以下示例所示:
/usr/local/bin/mediator_username
通过选择以下选项之一更改用户名:
-
选项(A):运行命令
mediator_change_user并对提示进行响应、如以下示例所示:[root@mediator-host ~]# mediator_change_user Modify the Mediator API username by entering the following values: Mediator API User Name: mediatoradmin Password: New Mediator API User Name: mediator The account username has been modified successfully. [root@mediator-host ~]# -
选项(b):运行以下命令:
MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD=mediator2 MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user[root@mediator-host ~]# MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD='mediator2' MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user The account username has been modified successfully. [root@mediator-host ~]#
更改密码
您可以使用以下操作步骤更改密码。
在安装了ONTAP调解器服务的Linux主机上执行此任务。
如果无法访问此命令,则可能需要使用完整路径运行此命令,如以下示例所示:
/usr/local/bin/mediator_change_password
通过选择以下选项之一更改密码:
-
选项(A):运行
mediator_change_password命令并对提示进行响应、如以下示例所示:[root@mediator-host ~]# mediator_change_password Change the Mediator API password by entering the following values: Mediator API User Name: mediatoradmin Old Password: New Password: Confirm Password: The password has been updated successfully. [root@mediator-host ~]# -
选项(b):运行以下命令:
MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password此示例显示密码已从"mediator1"更改为"mediator2"。
[root@mediator-host ~]# MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password The password has been updated successfully. [root@mediator-host ~]#
停止ONTAP 调解器服务
要停止ONTAP 调解器服务、请执行以下步骤:
-
停止ONTAP调解器:
systemctl stop ontap_mediator -
停止SCST:
systemctl stop mediator-scst -
禁用ONTAP调解器和SCST:
systemctl diable ontap_mediator mediator-scst
重新启用ONTAP 调解器服务
要重新启用ONTAP 调解器服务、请执行以下步骤:
-
启用ONTAP调解器和SCST:
systemctl enable ontap_mediator mediator-scst -
启动SCST:
systemctl start mediator-scst -
启动ONTAP调解器:
systemctl start ontap_mediator
确认ONTAP 调解器运行状况良好
安装ONTAP 调解器后、您应验证ONTAP 调解器服务是否正在运行。
-
查看ONTAP 调解器服务的状态:
-
systemctl status ontap_mediator[root@scspr1915530002 ~]# systemctl status ontap_mediator ontap_mediator.service - ONTAP Mediator Loaded: loaded (/etc/systemd/system/ontap_mediator.service; enabled; vendor preset: disabled) Active: active (running) since Mon 2022-04-18 10:41:49 EDT; 1 weeks 0 days ago Process: 286710 ExecStop=/bin/kill -s INT $MAINPID (code=exited, status=0/SUCCESS) Main PID: 286712 (uwsgi) Status: "uWSGI is ready" Tasks: 3 (limit: 49473) Memory: 139.2M CGroup: /system.slice/ontap_mediator.service ├─286712 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini ├─286716 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini └─286717 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini [root@scspr1915530002 ~]# -
systemctl status mediator-scst[root@scspr1915530002 ~]# systemctl status mediator-scst Loaded: loaded (/etc/systemd/system/mediator-scst.service; enabled; vendor preset: disabled) Active: active (running) since Mon 2022-04-18 10:41:47 EDT; 1 weeks 0 days ago Process: 286595 ExecStart=/etc/init.d/scst start (code=exited, status=0/SUCCESS) Main PID: 286662 (iscsi-scstd) Tasks: 1 (limit: 49473) Memory: 1.2M CGroup: /system.slice/mediator-scst.service └─286662 /usr/local/sbin/iscsi-scstd [root@scspr1915530002 ~]#
-
-
确认ONTAP 调解器服务使用的端口:
netstat[root@scspr1905507001 ~]# netstat -anlt | grep -E '3260|31784' tcp 0 0 0.0.0.0:31784 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:3260 0.0.0.0:* LISTEN tcp6 0 0 :::3260 :::* LISTEN
手动卸载SCST以执行主机维护
要卸载SCST、您需要安装的ONTAP 调解器版本所使用的SCST tar包。
-
下载相应的SCST捆绑包(如下表所示)并对其进行解压缩。
此版本
使用此tar包…
ONTAP调解器1.8
scst-3.8.0.tar.bz2.
ONTAP调解器1.7
scst-3.7.0.tar.bz2.
ONTAP调解器1.6
scst-3.7.0.tar.bz2.
ONTAP调解器1.5
scst-3.6.0.tar.bz2.
ONTAP调解器1.4
scst-3.6.0.tar.bz2.
ONTAP调解器1.3
scst-3.5.0.tar.bz2.
ONTAP调解器1.1
scst-3.4.tar.bz2.
ONTAP 调解器1.0
scst-3.3.0.tar.bz2.
-
在"scst"目录中问题描述 以下命令:
-
systemctl stop mediator-scst -
make scstadm_uninstall -
make iscsi_uninstall -
make usr_uninstall -
make scst_uninstall -
depmod
-
手动安装SCST以执行主机维护
要手动安装SCST、您需要安装的ONTAP 调解器版本所使用的SCST tar包(请参见 上表)。
-
在"scst"目录中问题描述 以下命令:
-
make 2release -
make scst_install -
make usr_install -
make iscsi_install -
make scstadm_install -
depmod -
cp scst/src/certs/scst_module_key.der /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/. -
cp scst/src/certs/scst_module_key.der /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/. -
patch /etc/init.d/scst < /opt/netapp/lib/ontap_mediator/systemd/scst.patch
-
-
(可选)如果已启用安全启动、则在重新启动之前、请执行以下步骤:
-
确定"scst_vdisk"、"scst"和"iSCSI_scst"模块的每个文件名:
[root@localhost ~]# modinfo -n scst_vdisk [root@localhost ~]# modinfo -n scst [root@localhost ~]# modinfo -n iscsi_scst
-
确定内核版本:
[root@localhost ~]# uname -r
-
使用内核对每个文件进行签名:
[root@localhost ~]# /usr/src/kernels/<KERNEL-RELEASE>/scripts/sign-file \sha256 \ /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.priv \ /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der \ _module-filename_
-
使用UEFI固件安装正确的密钥。
有关安装UEFI密钥的说明、请参见:
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/README.module-signing生成的UEFI密钥位于:
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der -
-
执行重新启动:
reboot
卸载 ONTAP 调解器服务
如有必要,您可以删除 ONTAP 调解器服务。
删除ONTAP调解器服务之前、必须先将ONTAP调解器与ONTAP断开连接。
您需要在安装了ONTAP调解器服务的Linux主机上执行此任务。
如果无法访问此命令,则可能需要使用完整路径运行此命令,如以下示例所示:
/usr/local/bin/uninstall_ontap_mediator
-
卸载 ONTAP 调解器服务:
uninstall_ontap_mediator[root@mediator-host ~]# uninstall_ontap_mediator ONTAP Mediator: Self Extracting Uninstaller + Removing ONTAP Mediator. (Log: /tmp/ontap_mediator.GmRGdA/uninstall_ontap_mediator/remove.log) + Remove successful. [root@mediator-host ~]#
重新生成临时自签名证书
您可以使用以下操作步骤重新生成临时自签名证书。
-
您可以在安装了ONTAP调解器服务的Linux主机上执行此任务。
-
只有在安装ONTAP调解器后、由于主机的主机名或IP地址发生更改、生成的自签名证书已废弃时、才能执行此任务。
-
在临时自签名证书被可信的第三方证书替换后、您不能使用此任务重新生成证书。如果没有自签名证书、则发生原因此操作步骤将失败。
要为当前主机重新生成新的临时自签名证书、请执行以下步骤:
-
重新启动ONTAP调解器服务:
./make_self_signed_certs.sh overwrite[root@xyz000123456 ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@xyz000123456 server_config]# ./make_self_signed_certs.sh overwrite Adding Subject Alternative Names to the self-signed server certificate # # OpenSSL example configuration file. Generating self-signed certificates Generating RSA private key, 4096 bit long modulus (2 primes) ..................................................................................................................................................................++++ ........................................................++++ e is 65537 (0x010001) Generating a RSA private key ................................................++++ .............................................................................................................................................++++ writing new private key to 'ontap_mediator_server.key' ----- Signature ok subject=C = US, ST = California, L = San Jose, O = "NetApp, Inc.", OU = ONTAP Core Software, CN = ONTAP Mediator, emailAddress = support@netapp.com Getting CA Private Key
将自签名证书替换为受信任的第三方证书
您可以将自签名证书替换为受信任的第三方证书。
-
您可以在安装了ONTAP调解器服务的Linux主机上执行此任务。
-
如果生成的自签名证书需要替换为从受信任的从属证书颁发机构(CA)获取的证书、则可以执行此任务。为此、您应有权访问可信的公共密钥基础架构(PKI)颁发机构。
第1步:从颁发CA证书的第三方获取证书
您可以使用以下操作步骤从PKI颁发机构获取证书。
以下示例说明了如何替换自签名证书角色、即 ca.key, ca.csr, ca.srl,和 ca.crt 位于 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ 与第三方证书主体。
|
此示例说明了ONTAP调解器服务所需证书的必要条件。您可以通过与此操作步骤不同的方式从PKI颁发机构获取证书。根据您的业务需求调整操作步骤。 |
-
创建专用密钥
ca.key和配置文件openssl_ca.cnfPKI颁发机构将使用该证书来生成证书。-
生成专用密钥
ca.key:-
示例 *
-
openssl genrsa -aes256 -out ca.key 4096-
配置文件
openssl_ca.cnf(位于/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf)定义生成的证书必须具有的属性。
-
-
使用私钥和配置文件创建证书签名请求
ca.csr`:-
示例: *
openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf
[root@scs000216655 server_config]# openssl req -key ca.key -new -config openssl_ca.cnf -out ca.csr Enter pass phrase for ca.key: [root@scs000216655 server_config]# cat ca.csr -----BEGIN CERTIFICATE REQUEST----- MIIE6TCCAtECAQAwgaMxCzAJBgNVBAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlh ... erARKhY9z0e8BHPl3g== -----END CERTIFICATE REQUEST-----
-
-
发送证书签名请求
ca.csr向PKI颁发机构签名。PKI颁发机构将验证请求并签署
.csr,生成证书ca.crt。
对于SnapMirror业务连续性(SM-BC)集群、必须添加证书 ca.crt连接到ONTAP集群。请参见 "为SM-BC配置ONTAP调解器和集群"。
第2步:使用第三方CA认证签名生成服务器证书
服务器证书必须使用专用密钥进行签名 ca.key 和第三方证书 ca.crt。此外、还包括配置文件 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf 包含某些属性、用于指定OpenSSL颁发的服务器证书所需的属性。
以下命令可生成服务器证书。
要生成服务器证书、请从文件夹运行以下命令 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config:
openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr
openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA ca.crt -CAkey ca.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt
-CAcreateserial 选项用于生成文件 ca.srl。
第3步:在ONTAP调解器配置中替换新的第三方CA证书和服务器证书
证书配置将通过位于的配置文件提供给ONTAP调解器服务 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml。此文件包含以下属性:
cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt' key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key' ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt' ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key' ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'
-
cert_path和key_path是服务器证书变量。 -
ca_cert_path,ca_key_path,和ca_serial_path是CA证书变量。
-
更换
ca.*具有第三方证书的文件。 -
重新启动ONTAP调解器:
systemctl restart ontap_mediator
第4步:(可选)为第三方证书使用其他路径或名称
您可以使用与以外的其他名称的第三方证书 ca.* 或将第三方证书存储在其他位置。
-
配置文件
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml覆盖中的默认变量值ontap_mediator.config.yaml文件例如、如果您获得
intermediate.crt并存储其私钥intermediate.key和证书签名请求intermediate.csr。/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config,则user_config文件应如下所示:[root@scs000216655 server_config]# cat ontap_mediator.user_config.yaml # This config file can be used to override the default settings in ontap_mediator.config.yaml # To override a setting, copy the property key from ontap_mediator.config.yaml to this file and # set the property to the desired value. e.g., # # The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml # # To override this value with 6 mailboxes per target, add the following key/value pair # below this comment: # # 'default_mailboxes_per_target': 6 # cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt' key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key' ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt' ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key' ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'
-
在配置文件中更新证书后、重新启动ONTAP调解器:
systemctl restart ontap_mediator
对证书相关问题进行故障排除
您可以检查证书的某些属性。
验证证书到期时间
使用以下命令确定证书有效期范围:
[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
Data:
...
Validity
Not Before: Feb 22 19:57:25 2024 GMT
Not After : Feb 15 19:57:25 2029 GMT
验证CA认证中的X509v3扩展
使用以下命令验证CA认证中的X509v3扩展。
在中定义的属性 v3_ca 在中 openssl_ca.cnf 显示为 X509v3 extensions 在中 ca.crt。
[root@scs000216982 server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
[root@scs000216982 server_config]# cat openssl_ca.cnf
...
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, cRLSign, digitalSignature, keyCertSign
[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
Data:
...
X509v3 extensions:
X509v3 Subject Key Identifier:
9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
X509v3 Authority Key Identifier:
keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage: critical
Digital Signature, Certificate Sign, CRL Sign
验证服务器证书和使用者Alt名称中的X509v3扩展
。 v3_req 中定义的属性 openssl_server.cnf 配置文件显示为 X509v3 extensions 在证书中。
在以下示例中、您可以在中获取变量 alt_names 部分 hostname -A 和 hostname -I 在安装了ONTAP调解器的Linux VM上。
请与网络管理员联系、了解变量的正确值。
[root@scs000216982 server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
[root@scs000216982 server_config]# cat openssl_server.cnf
...
[ v3_req ]
basicConstraints = CA:false
extendedKeyUsage = serverAuth
keyUsage = keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[ alt_names ]
DNS.1 = abc.company.com
DNS.2 = abc-v6.company.com
IP.1 = 1.2.3.4
IP.2 = abcd:abcd:abcd:abcd:abcd:abcd
[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
Data:
...
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Extended Key Usage:
TLS Web Server Authentication
X509v3 Key Usage:
Key Encipherment, Data Encipherment
X509v3 Subject Alternative Name:
DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd
验证专用密钥是否与证书匹配
您可以验证特定专用密钥是否与证书匹配。
对密钥和证书分别使用以下OpenSSL命令:
[root@scs000216982 server_config]# openssl rsa -noout -modulus -in intermediate.key | openssl md5 Enter pass phrase for intermediate.key: (stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc [root@scs000216982 server_config]# openssl x509 -noout -modulus -in intermediate.crt | openssl md5 (stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
如果 -modulus 属性、表示专用密钥和证书对兼容且可相互配合使用。
验证是否已从特定CA证书创建服务器证书
您可以使用以下命令验证服务器证书是否是从特定CA证书创建的。
[root@scs000216982 server_config]# openssl verify -CAfile ca.crt ontap_mediator_server.crt ontap_mediator_server.crt: OK
如果正在使用联机证书状态协议(Online Certificate Status Protocol、OCSP)验证、请使用命令 "OpenSSL验证"。