Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

為 Linux 主機上的 NetApp 支援外掛程式服務設定 CA 憑證

貢獻者

您應該管理自訂外掛程式Keystore的密碼及其憑證、設定CA憑證、設定根或中繼憑證至自訂外掛程式信任存放區、以及設定CA簽署金鑰配對至自訂外掛程式信任存放區、並使用SnapCenter 「依賴自訂外掛程式」服務啟動已安裝的數位憑證。

自訂外掛程式會使用位於_/opt /NetApp/snapcenter/sccc/etc_的「keystore .jks」檔案做為其信任存放區和金鑰存放區。

管理自訂外掛程式Keystore的密碼、以及使用中的CA簽署金鑰配對別名

步驟
  1. 您可以從自訂外掛程式代理程式內容檔擷取自訂外掛程式Keystore預設密碼。

    這是對應至金鑰「keystore _pass」的值。

  2. 變更Keystore密碼:

     keytool -storepasswd -keystore keystore.jks
    . 將Keystore中私密金鑰項目的所有別名密碼變更為與Keystore相同的密碼:
    keytool -keypasswd -alias "alias_name_in_cert" -keystore keystore.jks

    在_agent.properties_檔案中更新keyKeystore _pass的相同更新。

  3. 變更密碼後重新啟動服務。

註 自訂外掛程式Keystore的密碼、以及私密金鑰的所有相關別名密碼均應相同。

將根或中繼憑證設定為自訂外掛程式信任存放區

您應該設定根或中繼憑證、而不使用私密金鑰、以自訂外掛程式信任存放區。

步驟
  1. 瀏覽至包含自訂外掛程式Keystore的資料夾:/opp/NetApp/snapcenter/scc/等

  2. 找到「keystore .jks」檔案。

  3. 在Keystore中列出新增的憑證:

    「keytool-list -v -keystore keystore .jks」

  4. 新增根或中繼憑證:

     keytool -import -trustcacerts -alias myRootCA -file /root/USERTrustRSA_Root.cer -keystore keystore.jks
    . 將根或中繼憑證設定為自訂外掛程式信任存放區之後、請重新啟動服務。
註 您應該先新增根CA憑證、然後再新增中繼CA憑證。

將CA簽署金鑰配對設定為自訂外掛程式信任存放區

您應該將CA簽署金鑰配對設定為自訂外掛程式信任存放區。

步驟
  1. 瀏覽至包含自訂外掛程式Keystore /opp/NetApp/snapcenter/scc/等的資料夾

  2. 找到「keystore .jks」檔案。

  3. 在Keystore中列出新增的憑證:

    「keytool-list -v -keystore keystore .jks」

  4. 新增具有私密金鑰和公開金鑰的CA憑證。

    「keytool-importkeystore -srckeystore /root/snapcenter.ssl.test.netapp.com.pfx -srcstoretype.kcs12 -destkeystore keyKeystore .jks -deststoretype.jks」

  5. 在Keystore中列出新增的憑證。

    「keytool-list -v -keystore keystore .jks」

  6. 驗證密鑰庫是否包含與新CA憑證對應的別名、該CA憑證已新增至金鑰庫。

  7. 將CA憑證的新增私密金鑰密碼變更為金鑰庫密碼。

    預設的自訂外掛程式Keystore密碼是agent.properties檔案中KeyKeyKeystore _pass的值。

     keytool -keypasswd -alias "alias_name_in_CA_cert" -keystore keystore.jks
    . 如果CA憑證中的別名很長且包含空格或特殊字元(「*」、「」、」)、請將別名變更為簡單名稱:
     keytool -changealias -alias "long_alias_name" -destalias "simple_alias" -keystore keystore.jks
    . 在agent.properties檔案中設定CA憑證的別名。

    請根據SCC_IDATure_ALIAS金鑰更新此值。

  8. 將CA簽署金鑰配對設定為自訂外掛程式信任存放區之後、請重新啟動服務。

針對SnapCenter 「不一樣的自訂外掛程式」設定憑證撤銷清單(CRL)

關於這項工作
  • 「自訂外掛程式」會在預先設定的目錄中搜尋CRL檔案。SnapCenter

  • 適用於「SetcCustom Plug-in」的CRL檔案預設目錄SnapCenter 為「opt /NetApp/snapcenter/scc / etc/crl」。

步驟
  1. 您可以根據金鑰CRP_path修改及更新agent.properties檔案中的預設目錄。

    您可以在此目錄中放置多個CRL檔案。傳入的憑證會根據每個CRL進行驗證。