配置基於憑證的身份驗證
建議變更
PDF
基於憑證的身份驗證透過驗證SnapCenter伺服器和插件主機的身份來增強安全性,確保安全和加密的通訊。
啟用基於憑證的身份驗證
若要為SnapCenter Server 和 Windows 外掛程式主機啟用基於憑證的驗證,請執行下列 PowerShell cmdlet。對於 Linux 外掛主機,啟用雙向 SSL 時將啟用基於憑證的驗證。
-
若要啟用基於用戶端憑證的身份驗證:
Set-SmConfigSettings -Agent –configSettings @{"EnableClientCertificateAuthentication"="true"}-HostName[hostname] -
若要停用基於客戶端憑證的身份驗證:
Set-SmConfigSettings -Agent –configSettings @{"EnableClientCertificateAuthentication"="false"}-HostName[hostname]`
從SnapCenter伺服器匯出憑證授權單位 (CA) 憑證
您應該使用 Microsoft 管理主控台 (MMC) 將 CA 憑證從SnapCenter伺服器匯出到外掛程式主機。
您應該已經配置了雙向 SSL。
步驟
-
前往 Microsoft 管理主控台 (MMC),然後按一下 檔案 > 新增/移除管理單元。
-
在“新增或刪除管理單元”視窗中,選擇“證書”,然後按一下“新增”。
-
在憑證管理單元視窗中,選擇「電腦帳戶」選項,然後按一下「完成」。
-
按一下 控制台根 > 憑證 - 本機 > 個人 > 憑證。
-
右鍵點選用於SnapCenter Server 的採購 CA 證書,然後選擇 所有任務 > 匯出 以啟動匯出精靈。
-
在精靈中執行下列操作。
| 對於此選項… | 執行以下操作… |
|---|---|
匯出私鑰 |
選擇*否,不匯出私鑰*,然後按一下*下一步*。 |
匯出文件格式 |
按一下“下一步”。 |
檔案名稱 |
點選*瀏覽*並指定儲存憑證的檔案路徑,然後點選*下一步*。 |
完成憑證匯出精靈 |
查看摘要,然後按一下「完成」開始匯出。 |
|
SnapCenter HA 設定和SnapCenter Plug-in for VMware vSphere不支援基於憑證的驗證。 |
將 CA 憑證匯入 Windows 插件主機
若要使用匯出的SnapCenter Server CA 證書,您應該使用 Microsoft 管理主控台 (MMC) 將相關憑證匯入至SnapCenter Windows 外掛程式主機。
步驟
-
前往 Microsoft 管理主控台 (MMC),然後按一下 檔案 > 新增/移除管理單元。
-
在“新增或刪除管理單元”視窗中,選擇“證書”,然後按一下“新增”。
-
在憑證管理單元視窗中,選擇「電腦帳戶」選項,然後按一下「完成」。
-
按一下 控制台根 > 憑證 - 本機 > 個人 > 憑證。
-
右鍵單擊資料夾“個人”,然後選擇*所有任務* > *導入*以啟動導入精靈。
-
在精靈中執行下列操作。
| 對於此選項… | 執行以下操作… |
|---|---|
商店位置 |
按一下“下一步”。 |
要導入的文件 |
選擇以 .cer 副檔名結尾的SnapCenter伺服器憑證。 |
證書存儲 |
按一下“下一步”。 |
完成憑證匯出精靈 |
查看摘要,然後按一下「完成」開始匯入。 |
將 CA 憑證匯入 UNIX 插件主機
您應該將 CA 憑證匯入到 UNIX 插件主機。
關於此任務
-
您可以管理 SPL 金鑰庫的密碼,以及正在使用的 CA 簽章金鑰對的別名。
-
SPL 金鑰庫的密碼和私鑰的所有相關別名的密碼應該相同。
步驟
-
您可以從 SPL 屬性檔案中檢索 SPL 金鑰庫預設密碼。它是鍵對應的值
SPL_KEYSTORE_PASS。 -
更改密鑰庫密碼:
$ keytool -storepasswd -keystore keystore.jks -
將金鑰庫中所有私鑰條目別名的密碼變更為與金鑰庫相同的密碼:
$ keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks -
對金鑰 SPL_KEYSTORE_PASS 進行相同的更新 `spl.properties``文件。
-
修改密碼後重啟服務。
將根憑證或中繼憑證設定到 SPL 信任庫
您應該將根憑證或中間憑證設定到 SPL 信任庫。您應該新增根 CA 證書,然後新增中間 CA 證書。
步驟
-
導航至包含 SPL 金鑰庫的資料夾:
/var/opt/snapcenter/spl/etc。 -
找到文件
keystore.jks。 -
列出密鑰庫中新增的憑證:
$ keytool -list -v -keystore keystore.jks -
新增根證書或中間證書:
$ keytool -import -trustcacerts -alias <AliasNameForCerticateToBeImported> -file /<CertificatePath> -keystorekeystore.jks -
將根憑證或中間憑證配置到 SPL 信任庫後重新啟動服務。
將 CA 簽章金鑰對配置到 SPL 信任庫
您應該將 CA 簽署的金鑰對配置到 SPL 信任庫。
步驟
-
導航至包含 SPL 金鑰庫的資料夾
/var/opt/snapcenter/spl/etc。 -
找到文件
keystore.jks`。 -
列出密鑰庫中新增的憑證:
$ keytool -list -v -keystore keystore.jks -
新增具有私鑰和公鑰的 CA 憑證。
$ keytool -importkeystore -srckeystore <CertificatePathToImport> -srcstoretype pkcs12 -destkeystore keystore.jks-deststoretype JKS -
列出密鑰庫中新增的憑證。
$ keytool -list -v -keystore keystore.jks -
驗證金鑰庫是否包含與新增至金鑰庫的新 CA 憑證相對應的別名。
-
將新增的CA憑證私鑰密碼變更為keystore密碼。
預設 SPL 金鑰庫密碼是金鑰 SPL_KEYSTORE_PASS 的值 `spl.properties`文件。
$ keytool -keypasswd -alias "<aliasNameOfAddedCertInKeystore>" -keystore keystore.jks` -
如果CA憑證中的別名較長,且包含空格或特殊字元(“*”,“,”),請將別名修改為簡單名稱:
$ keytool -changealias -alias "<OrignalAliasName>" -destalias "<NewAliasName>" -keystore keystore.jks` -
從位於的金鑰庫配置別名 `spl.properties`文件。根據鍵 SPL_CERTIFICATE_ALIAS 更新此值。
-
將 CA 簽署金鑰對配置到 SPL 信任庫後重新啟動服務。
匯出SnapCenter證書
您應該以 .pfx 格式匯出SnapCenter憑證。
步驟
-
前往 Microsoft 管理主控台 (MMC),然後按一下 檔案 > 新增/移除管理單元。
-
在“新增或刪除管理單元”視窗中,選擇“證書”,然後按一下“新增”。
-
在憑證管理單元視窗中,選擇「我的使用者帳戶」選項,然後按一下「完成」。
-
按一下 控制台根 > 憑證 - 目前使用者 > 受信任的根憑證授權單位 > 憑證。
-
右鍵點選具有SnapCenter友善名稱的證書,然後選擇 所有任務 > 匯出 以啟動匯出精靈。
-
完成嚮導,如下圖所示:
在此精靈視窗中… 執行以下操作… 匯出私鑰
選擇選項*是,匯出私鑰*,然後按一下*下一步*。
匯出文件格式
不做任何更改;按一下“下一步”。
安全
指定匯出憑證要使用的新密碼,然後按一下「下一步」。
要匯出的文件
指定匯出憑證的檔案名稱(必須使用.pfx),然後按一下「下一步」。
完成憑證匯出精靈
查看摘要,然後按一下「完成」開始匯出。