將根或中繼憑證設定為SPL信任存放區
建議變更
PDF
您應該將根或中繼憑證設定為 SPL 信任存放區。您應該先新增根CA憑證、然後再新增中繼CA憑證。
步驟
-
瀏覽至包含 SPL Keystore 的資料夾:
/var/opt/snapcenter/spl/etc。 -
找到檔案
keystore.jks。 -
列出 Keystore 中新增的憑證:
$ keytool -list -v -keystore keystore.jks -
新增根或中繼憑證:
$ keytool -import -trustcacerts -alias <AliasNameForCerticateToBeImported> -file /<CertificatePath> -keystorekeystore.jks -
將根或中繼憑證設定為SPL信任存放區之後、請重新啟動服務。
將CA簽署金鑰配對設定為SPL信任存放區
您應該將 CA 簽署金鑰配對設定為 SPL 信任存放區。
步驟
-
導航至包含 SPL 密鑰庫的文件夾
/var/opt/snapcenter/spl/etc。 -
找到檔案
keystore.jks`。 -
列出 Keystore 中新增的憑證:
$ keytool -list -v -keystore keystore.jks -
新增具有私密金鑰和公開金鑰的 CA 憑證。
$ keytool -importkeystore -srckeystore <CertificatePathToImport> -srcstoretype pkcs12 -destkeystore keystore.jks-deststoretype JKS -
列出 Keystore 中新增的憑證。
$ keytool -list -v -keystore keystore.jks -
驗證密鑰庫是否包含與新CA憑證對應的別名、該CA憑證已新增至金鑰庫。
-
將CA憑證的新增私密金鑰密碼變更為金鑰庫密碼。
預設的 SPL 金鑰庫密碼是檔案中的 SPL_Keystore 密碼值
spl.properties。$ keytool -keypasswd -alias "<aliasNameOfAddedCertInKeystore>" -keystore keystore.jks` -
如果 CA 憑證中的別名很長、而且包含空格或特殊字元( "* 、 " 、 " )、請將別名變更為簡單名稱:
$ keytool -changealias -alias "<OrignalAliasName>" -destalias "<NewAliasName>" -keystore keystore.jks` -
從檔案中的 Keystore 設定別名
spl.properties。請根據SPL_PRO證 書別名更新此值。 -
將CA簽署金鑰配對設定為SPL信任存放區後、請重新啟動服務。