在 Windows 主机上配置双向 SSL 通信
您应该配置双向 SSL 通信以保护 Windows 主机上的SnapCenter服务器与插件之间的相互通信。
-
您应该已经生成了具有最小支持密钥长度 3072 的 CA 证书 CSR 文件。
-
CA证书应支持服务器认证和客户端认证。
-
您应该拥有一份包含私钥和指纹详细信息的 CA 证书。
-
您应该已经启用单向 SSL 配置。
有关详细信息,请参阅 "配置CA证书部分。"
-
您必须在所有插件主机和SnapCenter服务器上启用双向 SSL 通信。
不支持某些主机或服务器未启用双向 SSL 通信的环境。
-
要绑定端口,请使用 PowerShell 命令在SnapCenter Server 主机上对SnapCenter IIS Web 服务器端口 8146(默认)执行以下步骤,并再次对 SMCore 端口 8145(默认)执行以下步骤。
-
使用以下 PowerShell 命令删除现有的SnapCenter自签名证书端口绑定。
> netsh http delete sslcert ipport=0.0.0.0:<SMCore port/IIS port>
例如,
> netsh http delete sslcert ipport=0.0.0.0:8145
> netsh http delete sslcert ipport=0.0.0.0:8146
-
将新采购的 CA 证书与SnapCenter服务器和 SMCore 端口绑定。
> $cert = “<CA_certificate thumbprint>”
> $guid = [guid]::NewGuid().ToString("B")
> netsh http add sslcert ipport=0.0.0.0: <SMCore Port/IIS port> certhash=$cert appid="$guid"
clientcertnegotiation=enable verifyclientcertrevocation=disable
> netsh http show sslcert ipport=0.0.0.0:<SMCore Port/IIS port>
例如,
> $cert = “abc123abc123abc123abc123”
> $guid = [guid]::NewGuid().ToString("B")
> netsh http add sslcert ipport=0.0.0.0:8146 certhash=$cert appid="$guid"
clientcertnegotiation=enable verifyclientcertrevocation=disable
> $guid = [guid]::NewGuid().ToString("B")
> netsh http add sslcert ipport=0.0.0.0:8145 certhash=$cert appid="$guid"
clientcertnegotiation=enable verifyclientcertrevocation=disable
> netsh http show sslcert ipport=0.0.0.0:8146
> netsh http show sslcert ipport=0.0.0.0:8145
-
-
要访问 CA 证书的权限,请通过执行以下步骤在证书权限列表中添加 SnapCenter 的默认 IIS Web 服务器用户“IIS AppPool\ SnapCenter”来访问新购买的 CA 证书。
-
转到 Microsoft 管理控制台 (MMC),然后单击 文件 > 添加/删除管理单元。
-
在“添加或删除管理单元”窗口中,选择“证书”,然后单击“添加”。
-
在证书管理单元窗口中,选择“计算机帐户”选项,然后单击“完成”。
-
单击 控制台根 > 证书 - 本地计算机 > 个人 > 证书。
-
选择SnapCenter证书。
-
要启动添加用户\权限向导,请右键单击 CA 证书并选择 所有任务 > 管理私钥。
-
单击“添加”,在“选择用户和组”向导中将位置更改为本地计算机名称(层次结构中的最顶层)
-
添加 IIS AppPool\ SnapCenter用户,授予完全控制权限。
-
-
对于 CA 证书 IIS 权限,从以下路径在SnapCenter Server 中添加新的 DWORD 注册表项条目:
在 Windows 注册表编辑器中,遍历下面提到的路径,
HKey_Local_Machine\SYSTEM\CurrentControlSet\Control\SecurityProv ders\SCHANNEL
-
在 SCHANNEL 注册表配置上下文中创建新的 DWORD 注册表项条目。
SendTrustedIssuerList = 0
ClientAuthTrustMode = 2
配置SnapCenter Windows 插件以进行双向 SSL 通信
您应该使用 PowerShell 命令配置SnapCenter Windows 插件以进行双向 SSL 通信。
确保 CA 证书指纹可用。
-
要绑定端口,请在 Windows 插件主机上对 SMCore 端口 8145(默认)执行以下操作。
-
使用以下 PowerShell 命令删除现有的SnapCenter自签名证书端口绑定。
> netsh http delete sslcert ipport=0.0.0.0:<SMCore port>
例如,
> netsh http delete sslcert ipport=0.0.0.0:8145
-
将新采购的CA证书与SMCore端口绑定。
> $cert = “<CA_certificate thumbprint>”
> $guid = [guid]::NewGuid().ToString("B")
> netsh http add sslcert ipport=0.0.0.0: <SMCore Port> certhash=$cert appid="$guid"
clientcertnegotiation=enable verifyclientcertrevocation=disable
> netsh http show sslcert ipport=0.0.0.0:<SMCore Port>
例如,
> $cert = “abc123abc123abc123abc123”
> $guid = [guid]::NewGuid().ToString("B")
> netsh http add sslcert ipport=0.0.0.0:8145 certhash=$cert appid="$guid"
clientcertnegotiation=enable verifyclientcertrevocation=disable
> netsh http show sslcert ipport=0.0.0.0:8145
-