为增强系统安全性,建议您在eReplication添加设备或系统前,导入所有设备侧的CA证书。当不导入设备的CA证书时,不会影响eReplication与设备或系统通信,但系统存在仿冒的风险。导入CA证书后需要重启eReplication才能生效,请在业务量小的时候进行操作。
前提条件
- 已准备跨平台远程访问工具,如“PuTTY”。
- 如果eReplication管理服务器操作系统为Linux,请提前获取管理服务器“root”或“DRManager”用户的密码。
- 已获取所有待添加设备侧的CA证书,且必须使用“X.509v3”格式的证书。
背景信息
- eReplication Server提供了密钥库“bcm.keystore”,设备的CA证书导入到该密钥库中。密钥库存放路径固定为“/opt/BCManager/Runtime/LegoRuntime/certs”(Linux)。
- eReplication Server预置了Agent的CA证书,因此不需要导入Agent的CA证书(“bcmagentca”)。
- eReplication Server导入设备的CA证书时,请提前从设备提供商获取CA证书,导入时请注意以下要求:
- 对于多级CA证书,所有的证书都需要导入。
- 如果多个设备的CA证书相同,该CA证书只需导入一次。
- 如果系统产生证书告警信息,在导入证书后,请重启eReplication Server。
- 停止eReplication Server前,如果eReplication上有正在运行的保护任务或恢复计划,请选择eReplication没有运行的保护任务与恢复计划的时间进行本操作。
当不导入CA证书或出现设备证书过期等情况时,eReplication Server默认将产生证书告警信息。如果您希望不产生证书告警信息,请关闭证书告警,详细操作请参见关闭证书告警。
操作步骤
- Linux
- 使用“PuTTY”,登录eReplication Server服务器。
- 执行TMOUT=0命令,防止“PuTTY”超时退出。
执行该命令后,当前系统在无操作时会保持运行状态,存在安全风险,为了确保系统安全,请在完成相应操作后,执行exit退出当前系统。
- 执行cd /opt/BCManager/Runtime/bin命令,进入脚本存放路径。
对于Linux操作系统,eReplication Server的安装路径固定为“/opt/BCManager”。
- 执行sh shutdownSystem.sh命令,输入y后按“Enter”,停止eReplication Server。
- 执行cd /opt/BCManager/Runtime命令,进入脚本存放路径。
- 执行./jre6.0.18/bin/keytool -import -alias 证书别名 -keystore ./LegoRuntime/certs/bcm.keystore -file 证书文件路径,导入设备的CA证书。
“证书别名”不能与其他设备证书别名相同。
“-file ”为文件全路径。例如:“/opt/BCManager/Runtime/LegoRuntime/certs/cacert/ cacert.pem”。
- 输入eReplication的密钥库密码,按“Enter”,确认导入的证书信息正确。
Trust this certificate? [no]:
- 输入yes。
回显如下信息,表示证书已经添加到密钥库。
Certificate was added to keystore
- 执行./jre6.0.18/bin/keytool -list -v -keystore ./LegoRuntime/certs/bcm.keystore命令,查看导入证书信息。
- 输入eReplication的密钥库密码,按“Enter”,查看并确认证书导入成功。
- 重复执行f~j,导入所有设备侧的CA证书。
- 执行cd /opt/BCManager/Runtime/bin命令,进入脚本存放路径。
- 执行sh startSystem.sh命令,启动eReplication Server。
后续处理
当设备侧的CA更新时,您需要删除设备的原CA证书,并重新导入设备新的CA证书,请在执行f(Linux)前,执行以下操作步骤:
- Linux
- 执行./jre6.0.18/bin/keytool -delete -alias 证书别名 -keystore ./LegoRuntime/certs/bcm.keystore命令,删除设备的原CA证书。
- 输入eReplication的密钥库密码,按“Enter”,确认待删除的证书信息正确。