Skip to main content
本产品推出了新版本。
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在 Linux 主机上为 SnapCenter SAP HANA 插件服务配置 CA 证书

贡献者
PDF

您应管理自定义插件密钥库及其证书的密码,配置 CA 证书,为自定义插件信任存储配置根或中间证书,并将 CA 签名密钥对配置为使用 SnapCenter 自定义插件服务的自定义插件信任存储,以激活已安装的数字证书。

自定义插件使用文件 "keystore.jks" ,该文件位于 /opt/netapp/snapcenter/scc/ etc ,同时用作其信任存储和密钥存储。

管理自定义插件密钥库的密码以及正在使用的 CA 签名密钥对的别名

  • 步骤 *

    1. 您可以从自定义插件代理属性文件中检索自定义插件密钥库默认密码。

      它是与密钥 "keystore_pass" 对应的值。

    2. 更改密钥库密码:

       keytool -storepasswd -keystore keystore.jks
. 将密钥库中私钥条目的所有别名的密码更改为密钥库使用的相同密码:
      keytool -keypasswd -alias "alias_name_in_cert" -keystore keystore.jks

      agent.properties 文件中的 keystore_pass 密钥更新相同的。

    3. 更改密码后重新启动服务。

备注 自定义插件密钥库的密码和专用密钥的所有关联别名密码应相同。

将根证书或中间证书配置为自定义插件信任存储

您应将不带私钥的根证书或中间证书配置为自定义插件信任存储。

  • 步骤 *

    1. 导航到包含自定义插件密钥库的文件夹: /opt/netapp/snapcenter/SCC/etc.

    2. 找到文件 "keystore.jks" 。

    3. 列出密钥库中添加的证书:

      keytool -list -v -keystore keystore.jks

    4. 添加根证书或中间证书:

       keytool -import -trustcacerts -alias myRootCA -file /root/USERTrustRSA_Root.cer -keystore keystore.jks
. 将根证书或中间证书配置为自定义插件信任存储后重新启动服务。
备注 您应先添加根 CA 证书,然后再添加中间 CA 证书。

将 CA 签名密钥对配置为自定义插件信任存储

您应将 CA 签名密钥对配置为自定义插件信任存储。

  • 步骤 *

    1. 导航到包含自定义插件密钥库 /opt/netapp/snapcenter/scc/ 等的文件夹

    2. 找到文件 "keystore.jks" 。

    3. 列出密钥库中添加的证书:

      keytool -list -v -keystore keystore.jks

    4. 添加同时具有私钥和公有密钥的 CA 证书。

      keytool -importkeystore -srckeystore /root/snapcenter.ssl.test.netapp.com.pfx -srcstoretype PKCS12 -destkeystore keystore.jks -deststoretype JKS

    5. 列出密钥库中添加的证书。

      keytool -list -v -keystore keystore.jks

    6. 验证密钥库是否包含与已添加到密钥库中的新 CA 证书对应的别名。

    7. 将为 CA 证书添加的私钥密码更改为密钥库密码。

      默认自定义插件密钥库密码是 agent.properties 文件中密钥 keystore_pass 的值。

       keytool -keypasswd -alias "alias_name_in_CA_cert" -keystore keystore.jks
. 如果 CA 证书中的别名较长,并且包含空格或特殊字符( "*" , " , " ),请将别名更改为简单名称:
       keytool -changealias -alias "long_alias_name" -destalias "simple_alias" -keystore keystore.jks
. 从 agent.properties 文件中的 CA 证书配置别名。

      根据密钥 SCC_certificate_alias 更新此值。

    8. 将 CA 签名密钥对配置为自定义插件信任存储后重新启动服务。

为 SnapCenter 自定义插件配置证书撤消列表( Certificate Revocation List , CRL )

  • 关于此任务 *

  • SnapCenter 自定义插件将在预配置的目录中搜索 CRL 文件。

  • SnapCenter 自定义插件的 CRL 文件的默认目录为 " opt/netapp/snapcenter/SCC/etc/CRL" 。

  • 步骤 *

    1. 您可以使用密钥 CRL_PATH 修改和更新 agent.properties 文件中的默认目录。

      您可以在此目录中放置多个 CRL 文件。系统将根据每个 CRL 验证传入的证书。