在Element软件中设置自定义SSL证书有哪些要求?
适用场景
- Element软件12.2及更高版本
- Element管理节点(mNode)
问题解答
从12.2版开始、默认情况下、Element Software及其关联管理节点(mNode)会打包为满足以下要求的证书。
证书要求
- 为存储集群创建的唯一SSL证书
- cert commonName字段必须是集群名称或FQDN中的简称
- 使用者替代名称必须包含MVIP的FQDN
- 它不能包含其他系统的其他FQDN。
- nslookup[MVIP]必须返回FQDN
- nslookup[FQDN] 必须返回MVIP
- PEM编码 (x509)
- 已设置扩展密钥用法(EKU)(X509v3)
- 证书长度为2048位或更多(这是用于 多因素 身份验证(MFA)的要求
默认证书为自签名证书。自定义证书(例如、由第三方证书颁发机构(Certificate Authority、CA)签名的证书)可以安装在Element存储集群及其附带的mNode上、但前提是它们满足上述要求。
环境要求
确保网络路径中的任何防火墙都允许安装证书。
要检查证书策略的URL是否允许/添加到防火墙的例外列表中、请执行以下操作:
- 在Web浏览器中、 在集群UI中查看证书
- 单击Web浏览器中的锁定图标、然后选择证书>认证路径>组织的证书
- 在弹出的窗口中、选择详细信息>证书策略
- 此证书策略的URL应位于底部--防火墙需要允许此URL
- 在从所有存储节点的MIP到CA服务器的端口http (80)上启用固件规则
设置自定义证书
获得自定义证书后、可以通过各种 API驱动的方法在Element集群和mNode上设置这些证书。例如、请参见:
追加信息
故障排除
如果未满足上述任何要求、则SetSSLCertificate (Element)或SetNodeSSLCertificate (mNode) API将失败并显示错误消息。例如、请参见:
相关主题
有关将MFA与Element软件结合使用的信息、请参见 Element多因素身份验证指南位于何处?
有关将FIPS与Element软件结合使用的信息,请参阅 在集群上为HTTPS启用FIPS 140-2。
有关Element上的SSL上下文中的Ciphers的信息、请参见本指南中链接的"TLS和SSL"一节 。HCI加强指南位于何处?