Skip to main content
SnapCenter software
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在 Windows 主机上配置双向 SSL 通信

PDF

您应该配置双向 SSL 通信以保护 Windows 主机上的SnapCenter服务器与插件之间的相互通信。

开始之前

  • 您应该已经生成了具有最小支持密钥长度 3072 的 CA 证书 CSR 文件。

  • CA证书应支持服务器认证和客户端认证。

  • 您应该拥有一份包含私钥和指纹详细信息的 CA 证书。

  • 您应该已经启用单向 SSL 配置。

    有关详细信息,请参阅 "配置CA证书部分。"

  • 您必须在所有插件主机和SnapCenter服务器上启用双向 SSL 通信。

    不支持某些主机或服务器未启用双向 SSL 通信的环境。

步骤

  1. 要绑定端口,请使用 PowerShell 命令在SnapCenter Server 主机上对SnapCenter IIS Web 服务器端口 8146(默认)执行以下步骤,并再次对 SMCore 端口 8145(默认)执行以下步骤。

    1. 使用以下 PowerShell 命令删除现有的SnapCenter自签名证书端口绑定。

      > netsh http delete sslcert ipport=0.0.0.0:<SMCore port/IIS port>

      例如,

      > netsh http delete sslcert ipport=0.0.0.0:8145

      > netsh http delete sslcert ipport=0.0.0.0:8146

    2. 将新采购的 CA 证书与SnapCenter服务器和 SMCore 端口绑定。

      > $cert = “<CA_certificate thumbprint>”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0: <SMCore Port/IIS port> certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > netsh http show sslcert ipport=0.0.0.0:<SMCore Port/IIS port>

      例如,

      > $cert = “abc123abc123abc123abc123”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0:8146 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0:8145 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > netsh http show sslcert ipport=0.0.0.0:8146

    > netsh http show sslcert ipport=0.0.0.0:8145

  2. 要访问 CA 证书的权限,请通过执行以下步骤在证书权限列表中添加 SnapCenter 的默认 IIS Web 服务器用户“IIS AppPool\ SnapCenter”来访问新购买的 CA 证书。

    1. 转到 Microsoft 管理控制台 (MMC),然后单击 文件 > 添加/删除管理单元

    2. 在“添加或删除管理单元”窗口中,选择“证书”,然后单击“添加”。

    3. 在证书管理单元窗口中,选择“计算机帐户”选项,然后单击“完成”。

    4. 单击 控制台根 > 证书 - 本地计算机 > 个人 > 证书

    5. 选择SnapCenter证书。

    6. 要启动添加用户\权限向导,请右键单击 CA 证书并选择 所有任务 > 管理私钥

    7. 单击“添加”,在“选择用户和组”向导中将位置更改为本地计算机名称(层次结构中的最顶层)

    8. 添加 IIS AppPool\ SnapCenter用户,授予完全控制权限。

  3. 对于 CA 证书 IIS 权限,从以下路径在SnapCenter Server 中添加新的 DWORD 注册表项条目:

    在 Windows 注册表编辑器中,遍历下面提到的路径,

    HKey_Local_Machine\SYSTEM\CurrentControlSet\Control\SecurityProv ders\SCHANNEL

  4. 在 SCHANNEL 注册表配置上下文中创建新的 DWORD 注册表项条目。

    SendTrustedIssuerList = 0

    ClientAuthTrustMode = 2

配置SnapCenter Windows 插件以进行双向 SSL 通信

您应该使用 PowerShell 命令配置SnapCenter Windows 插件以进行双向 SSL 通信。

开始之前

确保 CA 证书指纹可用。

步骤

  1. 要绑定端口,请在 Windows 插件主机上对 SMCore 端口 8145(默认)执行以下操作。

    1. 使用以下 PowerShell 命令删除现有的SnapCenter自签名证书端口绑定。

      > netsh http delete sslcert ipport=0.0.0.0:<SMCore port>

      例如,

      > netsh http delete sslcert ipport=0.0.0.0:8145

    2. 将新采购的CA证书与SMCore端口绑定。

      > $cert = “<CA_certificate thumbprint>”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0: <SMCore Port> certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > netsh http show sslcert ipport=0.0.0.0:<SMCore Port>

      例如,

      > $cert = “abc123abc123abc123abc123”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0:8145 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

    > netsh http show sslcert ipport=0.0.0.0:8145