Skip to main content
此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在SnapCenter Linux主機上使用支援支援功能的支援程式(SPL)服務來設定CA認證

貢獻者

您應該管理SPL Keystore的密碼及其憑證、設定CA憑證、設定root或中繼憑證以取得SPL信任存放區、並設定CA簽署金鑰配對以使用SnapCenter 「用程式碼載入器」服務來啟動安裝的數位憑證。

重要 SPL使用位於「/var/opt/snapcenter/spl/etc」的「keystore-store」檔案。

管理SPL Keystore的密碼、以及使用中CA簽署金鑰配對的別名

步驟

  1. 您可以從SPL內容檔擷取SPL Keystore預設密碼。

    這是對應至「PL Keystore _pass」金鑰的值。

  2. 變更Keystore密碼:

     keytool -storepasswd -keystore keystore.jks
    . 將Keystore中私密金鑰項目的所有別名密碼變更為與Keystore相同的密碼:
    keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks

    在spl.properties檔案中更新SPL_Keystore密碼的相同資訊。

  3. 變更密碼後重新啟動服務。

註 SPL Keystore的密碼以及私密金鑰的所有相關別名密碼均應相同。

將根或中繼憑證設定為SPL信任存放區

您應該設定根或中繼憑證、而不要將私密金鑰設定為SPL信任存放區。

步驟

  1. 瀏覽至內含SPL Keystore的資料夾:/var/opt/snapcenter/spl/etc/

  2. 找到「keystore .jks」檔案。

  3. 在Keystore中列出新增的憑證:

     keytool -list -v -keystore keystore.jks
    . 新增根或中繼憑證:
     keytool -import -trustcacerts -alias <AliasNameForCerticateToBeImported> -file /<CertificatePath> -keystore keystore.jks
    . 將根或中繼憑證設定為SPL信任存放區之後、請重新啟動服務。
註 您應該先新增根CA憑證、然後再新增中繼CA憑證。

將CA簽署金鑰配對設定為SPL信任存放區

您應該將CA簽署金鑰配對設定為SPL信任存放區。

步驟

  1. 瀏覽至內含SPL Keystore /var/opt/snapcenter/spl/依此類推 的資料夾

  2. 找到「keystore .jks」檔案。

  3. 在Keystore中列出新增的憑證:

     keytool -list -v -keystore keystore.jks
    . 新增具有私密金鑰和公開金鑰的CA憑證。
     keytool -importkeystore -srckeystore <CertificatePathToImport> -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS
    . 在Keystore中列出新增的憑證。
     keytool -list -v -keystore keystore.jks
    . 驗證密鑰庫是否包含與新CA憑證對應的別名、該CA憑證已新增至金鑰庫。
    . 將CA憑證的新增私密金鑰密碼變更為金鑰庫密碼。

    預設SPL Keystore密碼是spl.properties檔案中SPL_Keystore密碼的值。

     keytool -keypasswd -alias "<aliasNameOfAddedCertInKeystore>" -keystore keystore.jks
    . 如果CA憑證中的別名很長且包含空格或特殊字元(「*」、「」、」)、請將別名變更為簡單名稱:
     keytool -changealias -alias "<OrignalAliasName>" -destalias "<NewAliasName>" -keystore keystore.jks
    . 從spl.properties檔案中的Keystore設定別名。

    請根據SPL_PRO證 書別名更新此值。

  4. 將CA簽署金鑰配對設定為SPL信任存放區後、請重新啟動服務。

設定SPL的憑證撤銷清單(CRL)

您應該設定SPL的CRL

關於此工作

  • SPL會在預先設定的目錄中尋找CRL檔案。

  • SPL的CRL檔案預設目錄為:/var/opt/snapcenter/spl/etc/crl

步驟

  1. 您可以修改並更新spl.properties檔案中的預設目錄、使其符合SPL_CRL_path金鑰。

  2. 您可以在此目錄中放置多個CRL檔案。

    傳入的憑證會根據每個CRL進行驗證。