管理ONTAP 「協調器」服務
建議變更
PDF
管理 ONTAP Mediator 服務、包括變更使用者認證、停止及重新啟用服務、驗證其健全狀況、以及安裝或解除安裝 SCST 以進行主機維護。您也可以管理憑證、例如重新產生自我簽署的憑證、以信任的協力廠商憑證取代它們、以及疑難排解憑證相關問題。
變更使用者名稱
您可以使用下列程序變更使用者名稱。
在安裝 ONTAP Mediator 服務的 Linux 主機上執行此工作。
如果無法連線至此命令、您可能需要使用完整路徑來執行命令、如下列範例所示:
/usr/local/bin/mediator_username
選擇下列其中一個選項來變更使用者名稱:
-
* 選項( a ) * :執行命令
mediator_change_user並回應下列範例所示的提示:[root@mediator-host ~]# mediator_change_user Modify the Mediator API username by entering the following values: Mediator API User Name: mediatoradmin Password: New Mediator API User Name: mediator The account username has been modified successfully. [root@mediator-host ~]# -
* 選項( b ) * :執行下列命令:
MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD=mediator2 MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user[root@mediator-host ~]# MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD='mediator2' MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user The account username has been modified successfully. [root@mediator-host ~]#
變更密碼
您可以使用下列程序變更密碼。
在安裝 ONTAP Mediator 服務的 Linux 主機上執行此工作。
如果無法連線至此命令、您可能需要使用完整路徑來執行命令、如下列範例所示:
/usr/local/bin/mediator_change_password
選擇下列其中一個選項來變更密碼:
-
* 選項( a ) * :執行
mediator_change_password命令並回應提示、如下列範例所示:[root@mediator-host ~]# mediator_change_password Change the Mediator API password by entering the following values: Mediator API User Name: mediatoradmin Old Password: New Password: Confirm Password: The password has been updated successfully. [root@mediator-host ~]# -
* 選項( b ) * :執行下列命令:
MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password範例顯示密碼已從「 media1 」變更為「 media2 」。
[root@mediator-host ~]# MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password The password has been updated successfully. [root@mediator-host ~]#
停止 ONTAP Mediator 服務
若要停止 ONTAP Mediator 服務、請執行下列步驟:
-
停止 ONTAP Mediator :
systemctl stop ontap_mediator -
停止 SCST :
systemctl stop mediator-scst -
停用 ONTAP Mediator 和 SCST :
systemctl diable ontap_mediator mediator-scst
重新啟用 ONTAP Mediator 服務
若要重新啟用 ONTAP Mediator 服務、請執行下列步驟:
-
啟用 ONTAP Mediator 和 SCST :
systemctl enable ontap_mediator mediator-scst -
啟動 SCST :
systemctl start mediator-scst -
啟動 ONTAP Mediator :
systemctl start ontap_mediator
驗證 ONTAP Mediator 是否正常運作
安裝 ONTAP Mediator 之後、您應該確認 ONTAP Mediator 服務正在執行中。
-
檢視 ONTAP Mediator 服務的狀態:
-
systemctl status ontap_mediator[root@scspr1915530002 ~]# systemctl status ontap_mediator ontap_mediator.service - ONTAP Mediator Loaded: loaded (/etc/systemd/system/ontap_mediator.service; enabled; vendor preset: disabled) Active: active (running) since Mon 2022-04-18 10:41:49 EDT; 1 weeks 0 days ago Process: 286710 ExecStop=/bin/kill -s INT $MAINPID (code=exited, status=0/SUCCESS) Main PID: 286712 (uwsgi) Status: "uWSGI is ready" Tasks: 3 (limit: 49473) Memory: 139.2M CGroup: /system.slice/ontap_mediator.service ├─286712 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini ├─286716 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini └─286717 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini [root@scspr1915530002 ~]# -
systemctl status mediator-scst[root@scspr1915530002 ~]# systemctl status mediator-scst Loaded: loaded (/etc/systemd/system/mediator-scst.service; enabled; vendor preset: disabled) Active: active (running) since Mon 2022-04-18 10:41:47 EDT; 1 weeks 0 days ago Process: 286595 ExecStart=/etc/init.d/scst start (code=exited, status=0/SUCCESS) Main PID: 286662 (iscsi-scstd) Tasks: 1 (limit: 49473) Memory: 1.2M CGroup: /system.slice/mediator-scst.service └─286662 /usr/local/sbin/iscsi-scstd [root@scspr1915530002 ~]#
-
-
確認 ONTAP Mediator 服務使用的連接埠:
netstat[root@scspr1905507001 ~]# netstat -anlt | grep -E '3260|31784' tcp 0 0 0.0.0.0:31784 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:3260 0.0.0.0:* LISTEN tcp6 0 0 :::3260 :::* LISTEN
手動解除安裝 SCST 以執行主機維護
若要解除安裝 SCST 、您需要用於已安裝 ONTAP Mediator 版本的 SCST tar 套件。
-
下載適當的 SCST 套裝組合(如下表所示)並將其解壓縮。
對於此版本 …
使用此 tar 套裝組合 …
ONTAP Mediator 1.9
scst-3.8.0.tar.bz2
ONTAP Mediator 1.8
scst-3.8.0.tar.bz2
ONTAP Mediator 1.7
scst-3.7.0.tar.bz2
ONTAP Mediator 1.6
scst-3.7.0.tar.bz2
ONTAP Mediator 1.5
scst-3.6.0.tar.bz2
ONTAP Mediator 1.4
scst-3.6.0.tar.bz2
ONTAP Mediator 1.3
scst-3.5.0.tar.bz2
ONTAP Mediator 1.1
scst-3.4.0.tar.bz2
ONTAP Mediator 1.0
scst-3.3.0.tar.bz2
-
在 "scst" 目錄中輸入下列命令:
-
systemctl stop mediator-scst -
make scstadm_uninstall -
make iscsi_uninstall -
make usr_uninstall -
make scst_uninstall -
depmod
-
手動安裝 SCST 以執行主機維護
若要手動安裝 SCST 、您需要用於已安裝 ONTAP Mediator 版本的 SCST tar 套件(請參閱 上表)。
-
在 "scst" 目錄中輸入下列命令:
-
make 2release -
make scst_install -
make usr_install -
make iscsi_install -
make scstadm_install -
depmod -
cp scst/src/certs/scst_module_key.der /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/ -
patch /etc/init.d/scst < /opt/netapp/lib/ontap_mediator/systemd/scst.patch
-
-
或者、如果已啟用安全開機、請在重新開機之前執行下列步驟:
-
決定「 scst_vdisk 」、「 scst 」和「 iscsim_scst 」模組的每個檔案名稱:
[root@localhost ~]# modinfo -n scst_vdisk [root@localhost ~]# modinfo -n scst [root@localhost ~]# modinfo -n iscsi_scst
-
決定核心版本:
[root@localhost ~]# uname -r
-
使用核心簽署每個檔案:
[root@localhost ~]# /usr/src/kernels/<KERNEL-RELEASE>/scripts/sign-file \sha256 \ /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.priv \ /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der \ _module-filename_
-
使用 UEFI 韌體安裝正確的金鑰。
有關安裝 UEFI 金鑰的說明、請參閱:
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/README.module-signing產生的 UEFI 金鑰位於:
/opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der -
-
執行重新開機:
reboot
解除安裝ONTAP 「BMC Service」
如有必要、您可以移除ONTAP 「資訊調解器」服務。
在您移除 ONTAP Mediator 服務之前、必須先中斷 ONTAP Mediator 與 ONTAP 的連線。
您需要在安裝 ONTAP Mediator 服務的 Linux 主機上執行此工作。
如果無法連線至此命令、您可能需要使用完整路徑來執行命令、如下列範例所示:
/usr/local/bin/uninstall_ontap_mediator
-
解除安裝ONTAP 《BMC Service:
uninstall_ontap_mediator[root@mediator-host ~]# uninstall_ontap_mediator ONTAP Mediator: Self Extracting Uninstaller + Removing ONTAP Mediator. (Log: /tmp/ontap_mediator.GmRGdA/uninstall_ontap_mediator/remove.log) + Remove successful. [root@mediator-host ~]#
重新產生暫時自我簽署的憑證
從 ONTAP Mediator 1.7 開始、您可以使用下列程序重新產生暫時自我簽署的憑證。
|
此程序僅支援執行 ONTAP Mediator 1.7 或更新版本的系統。 |
-
您可以在安裝 ONTAP Mediator 服務的 Linux 主機上執行此工作。
-
只有在安裝 ONTAP Mediator 之後、由於主機的主機名稱或 IP 位址變更而產生的自我簽署憑證已過時時、才能執行此工作。
-
當暫時自我簽署的憑證已由信任的協力廠商憑證取代之後、您不會使用此工作來重新產生憑證。如果沒有自我簽署的憑證、將導致此程序失敗。
若要為目前主機重新產生新的暫時自我簽署憑證、請執行下列步驟:
-
重新啟動 ONTAP Mediator 服務:
./make_self_signed_certs.sh overwrite[root@xyz000123456 ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@xyz000123456 server_config]# ./make_self_signed_certs.sh overwrite Adding Subject Alternative Names to the self-signed server certificate # # OpenSSL example configuration file. Generating self-signed certificates Generating RSA private key, 4096 bit long modulus (2 primes) ..................................................................................................................................................................++++ ........................................................++++ e is 65537 (0x010001) Generating a RSA private key ................................................++++ .............................................................................................................................................++++ writing new private key to 'ontap_mediator_server.key' ----- Signature ok subject=C = US, ST = California, L = San Jose, O = "NetApp, Inc.", OU = ONTAP Core Software, CN = ONTAP Mediator, emailAddress = support@netapp.com Getting CA Private Key
以信任的協力廠商憑證取代自我簽署的憑證
如果支援、您可以使用信任的第三方憑證來取代自我簽署的憑證。
|
|
-
您可以在安裝 ONTAP Mediator 服務的 Linux 主機上執行此工作。
-
如果產生的自我簽署憑證需要由從信任的次級憑證授權單位( CA )取得的憑證所取代、您可以執行此工作。若要達成此目標、您應該可以存取信任的公開金鑰基礎架構( PKI )授權。
-
下圖顯示每個 ONTAP Mediator 憑證的用途。
-
下圖顯示 Web 伺服器設定和 ONTAP Mediator 伺服器設定的組態。
步驟 1 :從發行 CA 憑證的協力廠商取得憑證
您可以使用下列程序從 PKI 授權單位取得憑證。
以下範例示範如何取代自我簽署的憑證參與者、也就是 ca.key、 ca.csr、 ca.srl`和 `ca.crt 位於 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ 與第三方憑證參與者合作。
|
|
此範例說明 ONTAP Mediator 服務所需憑證的必要準則。您可以使用與此程序不同的方式、從 PKI 授權單位取得憑證。根據您的業務需求調整程序。 |
-
建立私密金鑰
ca.key和組態檔案openssl_ca.cnf這將由 PKI 授權單位用來產生憑證。-
產生私密金鑰
ca.key:-
範例 *
-
openssl genrsa -aes256 -out ca.key 4096-
組態檔案
openssl_ca.cnf(位於/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf)定義產生的憑證必須具有的內容。
-
-
使用私密金鑰和組態檔案來建立憑證簽署要求
ca.csr:範例:
openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf[root@scs000216655 server_config]# openssl req -key ca.key -new -config openssl_ca.cnf -out ca.csr Enter pass phrase for ca.key: [root@scs000216655 server_config]# cat ca.csr -----BEGIN CERTIFICATE REQUEST----- MIIE6TCCAtECAQAwgaMxCzAJBgNVBAYTAlVTMRMwEQYDVQQIDApDYWxpZm9ybmlh ... erARKhY9z0e8BHPl3g== -----END CERTIFICATE REQUEST-----
-
傳送憑證簽署要求
ca.csr提供給 PKI 授權單位以供其簽署。PKI 授權單位會驗證要求並簽署
.csr、產生憑證ca.crt。此外、您需要從 PKI 授權單位取得root_ca.crt簽署憑證的憑證ca.crt。
對於 SnapMirror Business Continuity ( SM-BC )叢集、您必須將和憑證新增 ca.crtroot_ca.crt至 ONTAP 叢集。請參閱。 "設定 ONTAP Mediator 和叢集以進行 SnapMirror 主動式同步"
步驟 2 :使用協力廠商 CA 認證簽署以產生伺服器憑證
伺服器憑證必須由私密金鑰簽署 ca.key 和第三方憑證 ca.crt。此外、組態檔案 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf 包含特定屬性、可指定由 OpenSSL 發行的伺服器憑證所需的內容。
下列命令可產生伺服器憑證。
-
若要產生伺服器憑證簽署要求( CSR )、請從資料夾執行下列命令
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config:openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr -
[[step 2 _intermal_info] 若要從 CSR 產生伺服器憑證、請從資料夾執行下列命令
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config:
ca.crt`和 `ca.key檔案是從 PKI 授權單位取得的。如果您使用不同的憑證名稱、例如intermediate.crt、和intermediate.key、請分別以和取代ca.crtca.keyintermediate.crt和intermediate.key。openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA ca.crt -CAkey ca.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt-
此
-CAcreateserial選項用於產生ca.srl或intermediate.srl檔案、視您使用的憑證名稱而定。
-
步驟 3 :在 ONTAP Mediator 組態中取代新的協力廠商 CA 憑證和伺服器憑證
憑證組態會提供給位於的組態檔案中的 ONTAP Mediator 服務 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml。檔案包含下列屬性:
cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt' key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key' ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt' ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key' ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'
-
cert_path和key_path為伺服器憑證變數。 -
ca_cert_path、ca_key_path`和 `ca_serial_path為 CA 憑證變數。
-
以協力廠商憑證取代所有
ca.*檔案。 -
從和憑證建立憑證鏈結
ca.crtontap_mediator_server.crt:cat ontap_mediator_server.crt ca.crt > ontap_mediator_server_chain.crt -
更新
/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini檔案。更新、和的值
mediator_certmediator_keyca_certificate:set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crtset-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.keyset-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_ca.crt-
mediator_cert`值是檔案的路徑 `ontap_mediator_server_chain.crt。 -
mediator_key value`是檔案中的金鑰路徑 `ontap_mediator_server.crt,即ontap_mediator_server.key。 -
ca_certificate`值是檔案的路徑 `root_ca.crt。
-
-
確認新產生憑證的下列屬性已正確設定:
-
Linux 群組擁有者:
netapp:netapp -
Linux 權限:
600
-
-
重新啟動 ONTAP Mediator :
systemctl restart ontap_mediator
步驟 4 :選擇性地為協力廠商憑證使用不同的路徑或名稱
您可以使用其他名稱的協力廠商憑證 ca.* 或是將協力廠商憑證儲存在不同的位置。
-
設定
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml檔案以覆寫檔案中的預設變數值ontap_mediator.config.yaml。如果您是從 PKI 授權單位取得,並將其私密金鑰儲存在該位置,則
intermediate.crtintermediate.key/opt/netapp/lib/ontap_mediator/ontap_mediator/server_configontap_mediator.user_config.yaml檔案應如下例所示:
如果您使用 intermediate.crt來簽署ontap_mediator_server.crt憑證、intermediate.srl則會產生檔案。如需詳細資訊、請參閱 步驟 2 :使用協力廠商 CA 認證簽署以產生伺服器憑證 。[root@scs000216655 server_config]# cat ontap_mediator.user_config.yaml # This config file can be used to override the default settings in ontap_mediator.config.yaml # To override a setting, copy the property key from ontap_mediator.config.yaml to this file and # set the property to the desired value. e.g., # # The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml # # To override this value with 6 mailboxes per target, add the following key/value pair # below this comment: # # 'default_mailboxes_per_target': 6 # cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt' key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key' ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt' ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key' ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'
-
如果您使用的是憑證結構、其中
root_ca.crt的憑證提供intermediate.crt簽署憑證的憑證ontap_mediator_server.crt、請從和憑證建立憑證鏈結intermediate.crtontap_mediator_server.crt:
您應該已經從程序稍早的 PKI 授權單位取得 intermediate.crt和ontap_mediator_server.crt憑證。cat ontap_mediator_server.crt intermediate.crt > ontap_mediator_server_chain.crt -
更新
/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini檔案。更新、和的值
mediator_certmediator_keyca_certificate:set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crtset-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.keyset-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_ca.crt-
mediator_cert`值是檔案的路徑 `ontap_mediator_server_chain.crt。 -
該
mediator_key值是檔案中的金鑰路徑ontap_mediator_server.crt,即ontap_mediator_server.key。 -
ca_certificate`值是檔案的路徑 `root_ca.crt。
對於 SnapMirror Business Continuity ( SM-BC )叢集、您必須將和憑證新增 intermediate.crtroot_ca.crt至 ONTAP 叢集。請參閱。 "設定 ONTAP Mediator 和叢集以進行 SnapMirror 主動式同步"
-
-
確認新產生憑證的下列屬性已正確設定:
-
Linux 群組擁有者:
netapp:netapp -
Linux 權限:
600
-
-
-
在組態檔中更新憑證時、請重新啟動 ONTAP Mediator :
systemctl restart ontap_mediator
疑難排解憑證相關問題
您可以檢查憑證的某些內容。
驗證憑證過期
使用下列命令識別憑證有效範圍:
[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
Data:
...
Validity
Not Before: Feb 22 19:57:25 2024 GMT
Not After : Feb 15 19:57:25 2029 GMT
驗證 CA 認證中的 X509v3 延伸
使用下列命令來驗證 CA 認證中的 X509v3 延伸。
中定義的內容 v3_ca 在中 openssl_ca.cnf 顯示為 X509v3 extensions 在中 ca.crt。
[root@scs000216982 server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
[root@scs000216982 server_config]# cat openssl_ca.cnf
...
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, cRLSign, digitalSignature, keyCertSign
[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
Data:
...
X509v3 extensions:
X509v3 Subject Key Identifier:
9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
X509v3 Authority Key Identifier:
keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage: critical
Digital Signature, Certificate Sign, CRL Sign
驗證伺服器憑證和主體替代名稱中的 X509v3 副檔名
。 v3_req 中定義的內容 openssl_server.cnf 組態檔案會顯示為 X509v3 extensions 在憑證中。
在下列範例中、您可以取得中的變數 alt_names 執行命令的區段 hostname -A 和 hostname -I 在安裝 ONTAP Mediator 的 Linux VM 上。
請洽詢您的網路管理員、以取得正確的變數值。
[root@scs000216982 server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
[root@scs000216982 server_config]# cat openssl_server.cnf
...
[ v3_req ]
basicConstraints = CA:false
extendedKeyUsage = serverAuth
keyUsage = keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[ alt_names ]
DNS.1 = abc.company.com
DNS.2 = abc-v6.company.com
IP.1 = 1.2.3.4
IP.2 = abcd:abcd:abcd:abcd:abcd:abcd
[root@scs000216982 server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
Data:
...
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Extended Key Usage:
TLS Web Server Authentication
X509v3 Key Usage:
Key Encipherment, Data Encipherment
X509v3 Subject Alternative Name:
DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd
確認私密金鑰與憑證相符
您可以驗證特定私密金鑰是否與憑證相符。
請分別在金鑰和憑證上使用下列 OpenSSL 命令:
[root@scs000216982 server_config]# openssl rsa -noout -modulus -in intermediate.key | openssl md5 Enter pass phrase for intermediate.key: (stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc [root@scs000216982 server_config]# openssl x509 -noout -modulus -in intermediate.crt | openssl md5 (stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
如果是 -modulus 這兩種配對的屬性都表示私密金鑰與憑證配對是相容的、可以彼此搭配使用。
確認伺服器憑證是從特定 CA 憑證建立
您可以使用下列命令來驗證伺服器憑證是從特定 CA 憑證建立的。
[root@scs000216982 server_config]# openssl verify -CAfile ca.crt ontap_mediator_server.crt ontap_mediator_server.crt: OK
如果正在使用線上憑證狀態通訊協定 (OCSP) 驗證,請使用命令 "openssl 驗證"。