在 Windows 主机上为 SnapCenter SAP HANA 插件服务配置 CA 证书

06/12/2025 贡献者

您应该管理插件密钥库及其证书的密码，配置 CA 证书，将根证书或中间证书配置到插件信任库，并使用插件服务将 CA 签名的密钥对配置到插件信任库，以激活已安装的数字证书。

插件使用文件 keystore.jks（位于 C:\Program Files\NetApp\SnapCenter\Snapcenter Plug-in Creator\etc）作为其信任库和密钥库。

管理插件密钥库的密码以及正在使用的 CA 签名密钥对的别名

步骤

您可以从插件代理属性文件中检索插件密钥库默认密码。

该值与 key_keystore_pass_ 键对应。
更改密钥库密码：

keytool -storepasswd -keystore keystore.jks

如果在 Windows 命令提示符处无法识别 "keytool" 命令，请将 keytool 命令替换为其完整路径。

C ： \Program Files\java\<JDK_version>\bin\keytool.exe " -storepasswd -keystore keystore.jks
将密钥库中私钥条目的所有别名的密码更改为密钥库使用的相同密码：

keytool -keypasswd -alias "alias_name_in_ct" -keystore keystore.jks

为 agent.properties 文件中的 keystore_pass 密钥更新相同的。
更改密码后重新启动服务。

插件密钥库的密码和所有相关私钥别名的密码应该相同。

您应该配置没有私钥的根证书或中间证书来插入信任库。

步骤

导航到包含插件密钥库的文件夹 C:\Program Files\NetApp\SnapCenter\Snapcenter Plug-in Creator\etc
找到文件 "keystore.jks" 。
列出密钥库中添加的证书：

keytool -list -v -keystore keystore.jks
添加根证书或中间证书：

keytool -import -trustcacerks -alias myRootCA -file /root/USERTrustRSA_Root.cer -keystore keystore.jks
配置根证书或中间证书以插入信任库后重新启动服务。

您应先添加根 CA 证书，然后再添加中间 CA 证书。

您应该将 CA 签名的密钥对配置到插件信任库中。

步骤

导航到包含插件密钥库的文件夹 C:\Program Files\NetApp\SnapCenter\Snapcenter Plug-in Creator\etc
找到文件 keystore.jks 。
列出密钥库中添加的证书：

keytool -list -v -keystore keystore.jks
添加同时具有私钥和公有密钥的 CA 证书。

keytool -importkeystore -srckeystore /root/snapcenter.ssl.test.netapp.com.pfx -srcstoretype PKCS12 -destkeystore keystore.jks -deststoretype JKS
列出密钥库中添加的证书。

keytool -list -v -keystore keystore.jks
验证密钥库是否包含与已添加到密钥库中的新 CA 证书对应的别名。
将为 CA 证书添加的私钥密码更改为密钥库密码。

默认插件密钥库密码是 agent.properties 文件中密钥 KEYSTORE_PASS 的值。

keytool -keypasswd -alias "alias_name_in_CA_ct" -keystore keystore.jks
从 agent.properties 文件中的 CA 证书配置别名。

根据密钥 SCC_certificate_alias 更新此值。
配置 CA 签名密钥对以插入信任库后重新启动服务。

关于此任务

要下载相关CA证书的最新CRL文件，请参见 "如何更新 SnapCenter CA 证书中的证书撤消列表文件"。
SnapCenter 插件将在预配置的目录中搜索 CRL 文件。
SnapCenter 插件的 CRL 文件的默认目录是 'C:\Program Files\NetApp\SnapCenter\Snapcenter Plug-in Creator\etc\crl'_。

步骤