配置基于证书的身份验证
建议更改
PDF
基于证书的身份验证通过验证SnapCenter服务器和插件主机的身份来增强安全性,确保安全和加密的通信。
启用基于证书的身份验证
要为SnapCenter Server 和 Windows 插件主机启用基于证书的身份验证,请运行以下 PowerShell cmdlet。对于 Linux 插件主机,启用双向 SSL 时将启用基于证书的身份验证。
-
要启用基于客户端证书的身份验证:
Set-SmConfigSettings -Agent –configSettings @{"EnableClientCertificateAuthentication"="true"}-HostName[hostname] -
要禁用基于客户端证书的身份验证:
Set-SmConfigSettings -Agent –configSettings @{"EnableClientCertificateAuthentication"="false"}-HostName[hostname]`
从SnapCenter服务器导出证书颁发机构 (CA) 证书
您应该使用 Microsoft 管理控制台 (MMC) 将 CA 证书从SnapCenter服务器导出到插件主机。
您应该已经配置了双向 SSL。
步骤
-
转到 Microsoft 管理控制台 (MMC),然后单击 文件 > 添加/删除管理单元。
-
在“添加或删除管理单元”窗口中,选择“证书”,然后单击“添加”。
-
在证书管理单元窗口中,选择“计算机帐户”选项,然后单击“完成”。
-
单击 控制台根 > 证书 - 本地计算机 > 个人 > 证书。
-
右键单击用于SnapCenter Server 的采购 CA 证书,然后选择 所有任务 > 导出 以启动导出向导。
-
在向导中执行以下操作。
| 对于此选项… | 执行以下操作… |
|---|---|
导出私钥 |
选择*否,不导出私钥*,然后单击*下一步*。 |
导出文件格式 |
单击“下一步”。 |
文件名 |
点击*浏览*并指定保存证书的文件路径,然后点击*下一步*。 |
完成证书导出向导 |
查看摘要,然后单击“完成”开始导出。 |
|
SnapCenter HA 配置和SnapCenter Plug-in for VMware vSphere不支持基于证书的身份验证。 |
将 CA 证书导入 Windows 插件主机
要使用导出的SnapCenter Server CA 证书,您应该使用 Microsoft 管理控制台 (MMC) 将相关证书导入到SnapCenter Windows 插件主机。
步骤
-
转到 Microsoft 管理控制台 (MMC),然后单击 文件 > 添加/删除管理单元。
-
在“添加或删除管理单元”窗口中,选择“证书”,然后单击“添加”。
-
在证书管理单元窗口中,选择“计算机帐户”选项,然后单击“完成”。
-
单击 控制台根 > 证书 - 本地计算机 > 个人 > 证书。
-
右键单击文件夹“个人”,然后选择*所有任务* > *导入*以启动导入向导。
-
在向导中执行以下操作。
| 对于此选项… | 执行以下操作… |
|---|---|
商店位置 |
单击“下一步”。 |
要导入的文件 |
选择以 .cer 扩展名结尾的SnapCenter服务器证书。 |
证书存储 |
单击“下一步”。 |
完成证书导出向导 |
查看摘要,然后单击“完成”开始导入。 |
将 CA 证书导入 UNIX 插件主机
您应该将 CA 证书导入到 UNIX 插件主机。
关于此任务
-
您可以管理 SPL 密钥库的密码,以及正在使用的 CA 签名密钥对的别名。
-
SPL 密钥库的密码和私钥的所有相关别名的密码应该相同。
步骤
-
您可以从 SPL 属性文件中检索 SPL 密钥库默认密码。它是键对应的值
SPL_KEYSTORE_PASS。 -
更改密钥库密码:
$ keytool -storepasswd -keystore keystore.jks -
将密钥库中所有私钥条目别名的密码更改为与密钥库相同的密码:
$ keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks -
对密钥 SPL_KEYSTORE_PASS 进行相同的更新 `spl.properties``文件。
-
修改密码后重启服务。
将根证书或中间证书配置到 SPL 信任库
您应该将根证书或中间证书配置到 SPL 信任库。您应该添加根 CA 证书,然后添加中间 CA 证书。
步骤
-
导航到包含 SPL 密钥库的文件夹:
/var/opt/snapcenter/spl/etc。 -
找到文件
keystore.jks。 -
列出密钥库中添加的证书:
$ keytool -list -v -keystore keystore.jks -
添加根证书或中间证书:
$ keytool -import -trustcacerts -alias <AliasNameForCerticateToBeImported> -file /<CertificatePath> -keystorekeystore.jks -
将根证书或中间证书配置到 SPL 信任库后重新启动服务。
将 CA 签名密钥对配置到 SPL 信任库
您应该将 CA 签名的密钥对配置到 SPL 信任库。
步骤
-
导航到包含 SPL 密钥库的文件夹
/var/opt/snapcenter/spl/etc。 -
找到文件
keystore.jks`。 -
列出密钥库中添加的证书:
$ keytool -list -v -keystore keystore.jks -
添加具有私钥和公钥的 CA 证书。
$ keytool -importkeystore -srckeystore <CertificatePathToImport> -srcstoretype pkcs12 -destkeystore keystore.jks-deststoretype JKS -
列出密钥库中添加的证书。
$ keytool -list -v -keystore keystore.jks -
验证密钥库是否包含与添加到密钥库的新 CA 证书相对应的别名。
-
将添加的CA证书私钥密码更改为keystore密码。
默认 SPL 密钥库密码是密钥 SPL_KEYSTORE_PASS 的值 `spl.properties`文件。
$ keytool -keypasswd -alias "<aliasNameOfAddedCertInKeystore>" -keystore keystore.jks` -
如果CA证书中的别名较长,且包含空格或特殊字符(“*”,“,”),请将别名修改为简单名称:
$ keytool -changealias -alias "<OrignalAliasName>" -destalias "<NewAliasName>" -keystore keystore.jks` -
从位于的密钥库配置别名 `spl.properties`文件。根据键 SPL_CERTIFICATE_ALIAS 更新此值。
-
将 CA 签名密钥对配置到 SPL 信任库后重新启动服务。
导出SnapCenter证书
您应该以 .pfx 格式导出SnapCenter证书。
步骤
-
转到 Microsoft 管理控制台 (MMC),然后单击 文件 > 添加/删除管理单元。
-
在“添加或删除管理单元”窗口中,选择“证书”,然后单击“添加”。
-
在证书管理单元窗口中,选择“我的用户帐户”选项,然后单击“完成”。
-
单击 控制台根 > 证书 - 当前用户 > 受信任的根证书颁发机构 > 证书。
-
右键单击具有SnapCenter友好名称的证书,然后选择 所有任务 > 导出 以启动导出向导。
-
完成向导,如下所示:
在此向导窗口中… 执行以下操作… 导出私钥
选择选项*是,导出私钥*,然后单击*下一步*。
导出文件格式
不做任何更改;单击“下一步”。
安全性
指定导出证书要使用的新密码,然后单击“下一步”。
要导出的文件
指定导出证书的文件名(必须使用.pfx),然后单击“下一步”。
完成证书导出向导
查看摘要,然后单击“完成”开始导出。