在 Element Software 中设置自定义 SSL 证书有哪些要求?
适用场景
- Element 软件版本 12.2 及更高版本
- Element 管理节点( mNode )
问题解答
默认情况下, Element 软件及其关联管理节点( mNode )会随附从 12.2 版开始满足以下要求的证书。
证书要求
- 为存储集群创建的唯一SSL证书
- cert commonName字段必须是FQDN中的集群名称或短名称
- 主题备用名称必须包含MVIP的FQDN
- 它不能包含其他系统的其他FQDN。
- nslookup /MVIP]必须返回FQDN
- nslookup FQDN必须返回MVIP
- PEM 编码( x509 )
- 已设置 ExtendedKeyUsage ( EKU )( X509v3 )
- 证书长度为 2048 位或更多(这是用于多因素身份验证( Multifactor Authentication , MFA )的要求)
默认证书为自签名证书。自定义证书(例如,由第三方证书颁发机构( CA )签名的证书)可以安装在 Element 存储集群及其随附的 mNode 上,前提是它们满足上述要求。
环境要求
确保网络路径中的任何防火墙都允许安装此证书。
要检查证书策略的 URL 是否允许 / 添加到防火墙的异常列表中,请执行以下操作:
- 在 Web broswer. 程序中,查看集群 UI 中的证书
- 单击 Web 浏览器中的锁定图标,然后选择证书 > 证书路径 > 组织的证书
- 在弹出的窗口中,选择详细信息 > 证书策略
- 此证书策略的 URL 应位于底部—防火墙需要允许此 URL
- 在从所有存储节点的MIP到CA服务器的端口http (80)上启用固件规则
设置自定义证书
获取自定义证书后,可以在 Element 集群和 mNode 上通过各种 API 驱动的方法设置自定义证书。请参见,例如:
追加信息
故障排除
如果没有满足上述任何要求, SetSSLCertificate ( Element )或 SetNodeSSLCertificate ( mNode ) API 将失败并显示错误消息。请参见,例如:
相关主题
有关将 MFA 与 Element 软件结合使用的信息,请参见Element 多因素身份验证指南位于何处?
有关将 FIPS 与 Element 软件结合使用的信息,请参见在集群上为 HTTPS 启用 FIPS 140-2。
有关 Element 上的 SSL 上下文中的密码的信息,请参见指南中的 "TLS 和 SSL" 一节,该节链接自HCI 加固指南的位置?