Skip to main content
SnapCenter Software 6.0
此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在SnapCenter Linux主機上設定適用於SAP HANA外掛程式服務的CA憑證

貢獻者 netapp-soumikd

您應該管理插件金鑰庫及其憑證的密碼,配置 CA 證書,將根或中間證書配置到插件信任庫,並使用 SnapCenter 插件服務將 CA 簽章金鑰對配置到插件信任庫以啟動已安裝的數位憑證。

插件使用位於 /opt/NetApp/snapcenter/scc/etc 的檔案「keystore.jks」作為其信任庫和金鑰庫。

管理插件金鑰庫的密碼以及正在使用的 CA 簽章金鑰對的別名

步驟
  1. 您可以從外掛程式代理屬性檔案中檢索外掛程式密鑰庫預設密碼。

    這是對應至金鑰「keystore _pass」的值。

  2. 變更Keystore密碼:

     keytool -storepasswd -keystore keystore.jks
    . 將Keystore中私密金鑰項目的所有別名密碼變更為與Keystore相同的密碼:
    keytool -keypasswd -alias "alias_name_in_cert" -keystore keystore.jks

    在_agent.properties_檔案中更新keyKeystore _pass的相同更新。

  3. 變更密碼後重新啟動服務。

註 插件金鑰庫的密碼和所有相關私鑰別名的密碼應該相同。

設定根憑證或中間憑證以插入信任庫

您應該配置沒有私鑰的根憑證或中間憑證來插入信任庫。

步驟
  1. 導航至包含插件金鑰庫的資料夾:/opt/NetApp/snapcenter/scc/etc。

  2. 找到「keystore .jks」檔案。

  3. 在Keystore中列出新增的憑證:

    keytool -list -v -keystore keystore.jks

  4. 新增根或中繼憑證:

     keytool -import -trustcacerts -alias myRootCA -file /root/USERTrustRSA_Root.cer -keystore keystore.jks
    . 設定根憑證或中間憑證以插入信任庫後重新啟動服務。
註 您應該先新增根CA憑證、然後再新增中繼CA憑證。

配置 CA 簽署金鑰對以插入信任庫

您應該將 CA 簽署的金鑰對配置到插件信任庫中。

步驟
  1. 導航至包含插件金鑰庫 /opt/NetApp/snapcenter/scc/etc 的資料夾。

  2. 找到「keystore .jks」檔案。

  3. 在Keystore中列出新增的憑證:

    keytool -list -v -keystore keystore.jks

  4. 新增具有私密金鑰和公開金鑰的CA憑證。

    keytool -importkeystore -srckeystore /root/snapcenter.ssl.test.netapp.com.pfx -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS

  5. 在Keystore中列出新增的憑證。

    keytool -list -v -keystore keystore.jks

  6. 驗證密鑰庫是否包含與新CA憑證對應的別名、該CA憑證已新增至金鑰庫。

  7. 將CA憑證的新增私密金鑰密碼變更為金鑰庫密碼。

    預設密鑰庫密碼是 agent.properties 檔案中密鑰 KEYSTORE_PASS 的值。

     keytool -keypasswd -alias "alias_name_in_CA_cert" -keystore keystore.jks
    . 如果CA憑證中的別名很長且包含空格或特殊字元(「*」、「」、」)、請將別名變更為簡單名稱:
     keytool -changealias -alias "long_alias_name" -destalias "simple_alias" -keystore keystore.jks
    . 在agent.properties檔案中設定CA憑證的別名。

    請根據SCC_IDATure_ALIAS金鑰更新此值。

  8. 配置 CA 簽署的金鑰對以插入信任庫後重新啟動服務。

為 SnapCenter 外掛程式設定憑證撤銷清單 (CRL)

關於這項工作
  • SnapCenter 插件將在預先配置的目錄中搜尋 CRL 檔案。

  • SnapCenter 插件的 CRL 檔案的預設目錄是「opt/NetApp/snapcenter/scc/etc/crl」。

步驟
  1. 您可以根據金鑰CRP_path修改及更新agent.properties檔案中的預設目錄。

    您可以在此目錄中放置多個CRL檔案。傳入的憑證會根據每個CRL進行驗證。