在SnapCenter Windows主機上設定「CA憑證」以執行「SAP HANA外掛程式」服務

06/12/2025 貢獻者

您應該管理插件金鑰庫及其憑證的密碼，配置 CA 證書，將根憑證或中間憑證配置到插件信任庫，並使用插件服務將 CA 簽署的金鑰對配置到插件信任庫，以啟動已安裝的數位憑證。

外掛程式使用位於 C:\Program Files\NetApp\SnapCenter\Snapcenter Plug-in Creator\etc 的檔案 keystore.jks 作為其信任庫和金鑰庫。

管理插件金鑰庫的密碼以及正在使用的 CA 簽章金鑰對的別名

步驟

您可以從外掛程式代理屬性檔案中檢索外掛程式密鑰庫預設密碼。

它是對應於key_keystore _pass的值。
變更Keystore密碼：

keytool-storepasswd -keystore keystor.jks

如果Windows命令提示字元無法辨識「keytool」命令、請將keytoolt命令替換為完整路徑。

C：\Program Files\Java\<JDK_VERY>\BIN\keytool.exe"-storepasswd -keystore keyKeystore .jks
將Keystore中私密金鑰項目的所有別名密碼變更為與Keystore相同的密碼：

keytool-keypasswd -alias "alias name_in_cert - keystore keystore .jks

在_agent.properties_檔案中更新keyKeystore _pass的相同更新。
變更密碼後重新啟動服務。

插件金鑰庫的密碼和所有相關私鑰別名的密碼應該相同。

您應該配置沒有私鑰的根憑證或中間憑證來插入信任庫。

步驟

導覽至包含外掛程式金鑰庫的資料夾 C:\Program Files\NetApp\SnapCenter\Snapcenter Plug-in Creator\etc
找到「keystore .jks」檔案。
在Keystore中列出新增的憑證：

keytool-list -v -keystore keyKeystore .jks
新增根或中繼憑證：

keytool-import -cactacerts -alias myRootCA -file /root/USERTrustra_root.cer -keystore keyKeystore .jks
設定根憑證或中間憑證以插入信任庫後重新啟動服務。

您應該先新增根CA憑證、然後再新增中繼CA憑證。

您應該將 CA 簽署的金鑰對配置到插件信任庫中。

步驟

導覽至包含外掛程式金鑰庫的資料夾 C:\Program Files\NetApp\SnapCenter\Snapcenter Plug-in Creator\etc
找到檔案_keystore。jks_。
在Keystore中列出新增的憑證：

keytool-list -v -keystore keyKeystore .jks
新增具有私密金鑰和公開金鑰的CA憑證。

keytool-importkeystore -srckeystore /root/snapcenter.ssl.test.netapp.com.pfx -srcstoretype.kcs12 -destkeystore keyKeystore .jks -deststoretype.jks
在Keystore中列出新增的憑證。

keytool-list -v -keystore keyKeystore .jks
驗證密鑰庫是否包含與新CA憑證對應的別名、該CA憑證已新增至金鑰庫。
將CA憑證的新增私密金鑰密碼變更為金鑰庫密碼。

預設插件密鑰庫密碼是 agent.properties 檔案中密鑰 KEYSTORE_PASS 的值。

keytool-keypasswd -alias "alias name_in_CA_cert "-keystore keyKeystore .jks
在_agent.properties_檔案中設定CA憑證的別名。

請根據SCC_IDATure_ALIAS金鑰更新此值。
配置 CA 簽署的金鑰對以插入信任庫後重新啟動服務。

關於這項工作

若要下載相關 CA 憑證的最新 CRL 檔案，請參閱 "如何更新SnapCenter 「驗證CA憑證」中的憑證撤銷清單檔案"。
SnapCenter 插件將在預先配置的目錄中搜尋 CRL 檔案。
SnapCenter 外掛程式的 CRL 檔案的預設目錄是 'C:\Program Files\NetApp\SnapCenter\Snapcenter Plug-in Creator\etc\crl'_。

步驟