Skip to main content
SnapCenter Software 4.9
此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定雙向 SSL 通訊

貢獻者
PDF

您應該設定雙向 SSL 通訊、以確保 SnapCenter 伺服器與外掛程式之間的相互通訊安全無虞。

開始之前

  • 您應該已產生 CA 憑證 CSR 檔案、其支援金鑰長度下限為 3072 。

  • CA 憑證應支援伺服器驗證和用戶端驗證。

  • 您應該擁有內含私密金鑰和指紋詳細資料的 CA 憑證。

  • 您應該已啟用單向 SSL 組態。

    如需詳細資料、請參閱 "設定 CA 憑證區段。"

  • 您必須在所有外掛主機和 SnapCenter 伺服器上啟用雙向 SSL 通訊。

    不支援某些主機或伺服器未啟用雙向 SSL 通訊的環境。

步驟

  1. 若要繫結連接埠、請在 SnapCenter 伺服器主機上針對 SnapCenter IIS 網頁伺服器連接埠 8146 (預設)執行下列步驟、並使用 PowerShell 命令再次為 SMCore 連接埠 8145 (預設)執行下列步驟。

    1. 使用下列 PowerShell 命令移除現有的 SnapCenter 自我簽署憑證連接埠繫結。

      > netsh http delete sslcert ipport=0.0.0.0:<SMCore port/IIS port>

      例如、

      > netsh http delete sslcert ipport=0.0.0.0:8145

      > netsh http delete sslcert ipport=0.0.0.0:8146

    2. 將新取得的 CA 憑證與 SnapCenter 伺服器和 SMCore 連接埠繫結。

      > $cert = “<CA_certificate thumbprint>”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0: <SMCore Port/IIS port> certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > netsh http show sslcert ipport=0.0.0.0:<SMCore Port/IIS port>

      例如、

      > $cert = “abc123abc123abc123abc123”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0:8146 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0:8145 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > netsh http show sslcert ipport=0.0.0.0:8146

    > netsh http show sslcert ipport=0.0.0.0:8145

  2. 若要存取 CA 憑證的權限、請執行下列步驟、在憑證權限清單中新增 SnapCenter 的預設 IIS Web 伺服器使用者 "IIS AppPool 、 SnapCenter " 、以存取新取得的 CA 憑證。

    1. 移至 Microsoft 管理主控台( MMC )、然後按一下 * 檔案 * > * 新增 / 移除 Snapin * 。

    2. 在「新增或移除嵌入式管理單元」視窗中、選取「憑證」、然後按一下「新增」。

    3. 在「憑證」嵌入式管理單元視窗中、選取「電腦帳戶」選項、然後按一下「完成」。

    4. 按一下*主控台根目錄*>*憑證–本機電腦*>*個人*>*憑證*。

    5. 選取 SnapCenter 憑證。

    6. 若要啟動新增使用者 \ 權限精靈、請在 CA 憑證上按一下滑鼠右鍵、然後選取 * 所有工作 * > * 管理私密金鑰 * 。

    7. 按一下 * 新增 * 、在「 Select Users and Groups 」(選取使用者和群組)精靈上、將位置變更為本機電腦名稱(階層架構中最上層)。

    8. 新增 IIS AppPool \ SnapCenter 使用者、賦予完全控制權限。

  3. 對於 *CA 證書 IIS 權限 * ,請從以下路徑在 SnapCenter 服務器中添加新的雙字節註冊表項:

    在 Windows 登錄編輯器中、遍歷下列路徑:

    HKey_Local_Machine\SYSTEM\CurrentControlSet\Control\SecurityProv ders\SCHANNEL

  4. 在 SChannel 登錄組態的內容下建立新的 DWORD 登錄機碼項目。

    SendTrustedIssuerList = 0

    ClientAuthTrustMode = 2

設定 SnapCenter Windows 外掛程式進行雙向 SSL 通訊

您應該使用 PowerShell 命令設定 SnapCenter Windows 外掛程式、以進行雙向 SSL 通訊。

開始之前

確保 CA 憑證指紋可用。

步驟

  1. 若要連結連接埠、請在 SMCore 連接埠 8145 的 Windows 外掛主機上執行下列動作(預設)。

    1. 使用下列 PowerShell 命令移除現有的 SnapCenter 自我簽署憑證連接埠繫結。

      > netsh http delete sslcert ipport=0.0.0.0:<SMCore port>

      例如、

      > netsh http delete sslcert ipport=0.0.0.0:8145

    2. 將新取得的 CA 憑證與 SMCore 連接埠繫結。

      > $cert = “<CA_certificate thumbprint>”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0: <SMCore Port> certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > netsh http show sslcert ipport=0.0.0.0:<SMCore Port>

      例如、

      > $cert = “abc123abc123abc123abc123”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0:8145 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

    > netsh http show sslcert ipport=0.0.0.0:8145