此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。
在SnapCenter Linux主機上使用支援支援功能的支援程式(SPL)服務來設定CA認證
貢獻者
建議變更
您應該管理SPL Keystore的密碼及其憑證、設定CA憑證、設定root或中繼憑證以取得SPL信任存放區、並設定CA簽署金鑰配對以使用SnapCenter 「用程式碼載入器」服務來啟動安裝的數位憑證。
SPL使用位於「/var/opt/snapcenter/spl/etc」的「keystore-store」檔案。 |
管理SPL Keystore的密碼、以及使用中CA簽署金鑰配對的別名
步驟
-
您可以從SPL內容檔擷取SPL Keystore預設密碼。
這是對應至「PL Keystore _pass」金鑰的值。
-
變更Keystore密碼:
keytool -storepasswd -keystore keystore.jks . 將Keystore中私密金鑰項目的所有別名密碼變更為與Keystore相同的密碼:
keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks
在spl.properties檔案中更新SPL_Keystore密碼的相同資訊。
-
變更密碼後重新啟動服務。
SPL Keystore的密碼以及私密金鑰的所有相關別名密碼均應相同。 |
將根或中繼憑證設定為SPL信任存放區
您應該設定根或中繼憑證、而不要將私密金鑰設定為SPL信任存放區。
步驟
-
瀏覽至內含SPL Keystore的資料夾:/var/opt/snapcenter/spl/etc/。
-
找到「keystore .jks」檔案。
-
在Keystore中列出新增的憑證:
keytool -list -v -keystore keystore.jks . 新增根或中繼憑證:
keytool -import -trustcacerts -alias <AliasNameForCerticateToBeImported> -file /<CertificatePath> -keystore keystore.jks . 將根或中繼憑證設定為SPL信任存放區之後、請重新啟動服務。
您應該先新增根CA憑證、然後再新增中繼CA憑證。 |
將CA簽署金鑰配對設定為SPL信任存放區
您應該將CA簽署金鑰配對設定為SPL信任存放區。
步驟
-
瀏覽至內含SPL Keystore /var/opt/snapcenter/spl/依此類推 的資料夾
-
找到「keystore .jks」檔案。
-
在Keystore中列出新增的憑證:
keytool -list -v -keystore keystore.jks . 新增具有私密金鑰和公開金鑰的CA憑證。
keytool -importkeystore -srckeystore <CertificatePathToImport> -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS . 在Keystore中列出新增的憑證。
keytool -list -v -keystore keystore.jks . 驗證密鑰庫是否包含與新CA憑證對應的別名、該CA憑證已新增至金鑰庫。 . 將CA憑證的新增私密金鑰密碼變更為金鑰庫密碼。
預設SPL Keystore密碼是spl.properties檔案中SPL_Keystore密碼的值。
keytool -keypasswd -alias "<aliasNameOfAddedCertInKeystore>" -keystore keystore.jks . 如果CA憑證中的別名很長且包含空格或特殊字元(「*」、「」、」)、請將別名變更為簡單名稱:
keytool -changealias -alias "<OrignalAliasName>" -destalias "<NewAliasName>" -keystore keystore.jks . 從spl.properties檔案中的Keystore設定別名。
請根據SPL_PRO證 書別名更新此值。
-
將CA簽署金鑰配對設定為SPL信任存放區後、請重新啟動服務。
設定SPL的憑證撤銷清單(CRL)
您應該設定SPL的CRL
關於此工作
-
SPL會在預先設定的目錄中尋找CRL檔案。
-
SPL的CRL檔案預設目錄為:/var/opt/snapcenter/spl/etc/crl。
步驟
-
您可以修改並更新spl.properties檔案中的預設目錄、使其符合SPL_CRL_path金鑰。
-
您可以在此目錄中放置多個CRL檔案。
傳入的憑證會根據每個CRL進行驗證。