在 Linux 主机上为 SnapCenter SAP HANA 插件服务配置 CA 证书
建议更改
PDF
您应该管理插件密钥库及其证书的密码,配置 CA 证书,将根或中间证书配置到插件信任库,并使用 SnapCenter 插件服务将 CA 签名密钥对配置到插件信任库以激活已安装的数字证书。
插件使用位于 /opt/NetApp/snapcenter/scc/etc 的文件“keystore.jks”作为其信任库和密钥库。
管理插件密钥库的密码以及正在使用的 CA 签名密钥对的别名
-
您可以从插件代理属性文件中检索插件密钥库默认密码。
它是与密钥 "keystore_pass" 对应的值。
-
更改密钥库密码:
keytool -storepasswd -keystore keystore.jks . 将密钥库中私钥条目的所有别名的密码更改为密钥库使用的相同密码:
keytool -keypasswd -alias "alias_name_in_cert" -keystore keystore.jks
为 agent.properties 文件中的 keystore_pass 密钥更新相同的。
-
更改密码后重新启动服务。
|
插件密钥库的密码和所有相关私钥别名的密码应该相同。 |
配置根证书或中间证书以插入信任库
您应该配置没有私钥的根证书或中间证书来插入信任库。
-
导航到包含插件密钥库的文件夹:/opt/NetApp/snapcenter/scc/etc。
-
找到文件 "keystore.jks" 。
-
列出密钥库中添加的证书:
keytool -list -v -keystore keystore.jks -
添加根证书或中间证书:
keytool -import -trustcacerts -alias myRootCA -file /root/USERTrustRSA_Root.cer -keystore keystore.jks . 配置根证书或中间证书以插入信任库后重新启动服务。
|
|
您应先添加根 CA 证书,然后再添加中间 CA 证书。 |
配置 CA 签名密钥对以插入信任库
您应该将 CA 签名的密钥对配置到插件信任库中。
-
导航到包含插件密钥库 /opt/NetApp/snapcenter/scc/etc 的文件夹。
-
找到文件 "keystore.jks" 。
-
列出密钥库中添加的证书:
keytool -list -v -keystore keystore.jks -
添加同时具有私钥和公有密钥的 CA 证书。
keytool -importkeystore -srckeystore /root/snapcenter.ssl.test.netapp.com.pfx -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS -
列出密钥库中添加的证书。
keytool -list -v -keystore keystore.jks -
验证密钥库是否包含与已添加到密钥库中的新 CA 证书对应的别名。
-
将为 CA 证书添加的私钥密码更改为密钥库密码。
默认密钥库密码是 agent.properties 文件中密钥 KEYSTORE_PASS 的值。
keytool -keypasswd -alias "alias_name_in_CA_cert" -keystore keystore.jks . 如果 CA 证书中的别名较长,并且包含空格或特殊字符( "*" , " , " ),请将别名更改为简单名称:
keytool -changealias -alias "long_alias_name" -destalias "simple_alias" -keystore keystore.jks . 从 agent.properties 文件中的 CA 证书配置别名。
根据密钥 SCC_certificate_alias 更新此值。
-
配置 CA 签名密钥对以插入信任库后重新启动服务。
为 SnapCenter 插件配置证书吊销列表 (CRL)
-
SnapCenter 插件将在预配置的目录中搜索 CRL 文件。
-
SnapCenter 插件的 CRL 文件的默认目录是“opt/NetApp/snapcenter/scc/etc/crl”。
-
您可以使用密钥 CRL_PATH 修改和更新 agent.properties 文件中的默认目录。
您可以在此目录中放置多个 CRL 文件。系统将根据每个 CRL 验证传入的证书。