为增强系统安全性,建议您在eReplication添加设备或系统(vCenter服务器、FusionCompute组件、存储设备、邮件服务器)前,导入所有设备侧的CA证书。当不导入设备的CA证书时,不会影响eReplication与设备或系统通信,但系统存在仿冒的风险。导入CA证书后需要重启eReplication才能生效,请在业务量小的时候进行操作。
前提条件
- 已准备跨平台远程访问工具,如“PuTTY”。
- 如果eReplication管理服务器操作系统为Linux,请提前获取管理服务器“root”或“DRManager”用户的密码。
- 已获取所有待添加设备侧的CA证书,且必须使用“X.509v3”格式的证书。
背景信息
- eReplication Server提供了密钥库“bcm.keystore”,设备的CA证书导入到该密钥库中。密钥库存放路径固定为“/opt/BCManager/Runtime/LegoRuntime/certs”(Linux)。
- eReplication Server预置了Agent的CA证书,因此不需要导入Agent的CA证书(“bcmagentca”)。
- eReplication Server导入设备的CA证书时,请提前从设备提供商获取CA证书,导入时请注意以下要求:
- 对于多级CA证书,所有的证书都需要导入。
- 如果多个设备的CA证书相同,该CA证书只需导入一次。
- 如果系统产生证书告警信息,在导入证书后,请重启eReplication Server。
- 停止eReplication Server前,如果eReplication上有正在运行的保护任务或恢复计划,请选择eReplication没有运行的保护任务与恢复计划的时间进行本操作。
当不导入CA证书或出现设备证书过期等情况时,eReplication Server默认将产生证书告警信息。如果您希望不产生证书告警信息,请关闭证书告警,详细操作请参见关闭证书告警。
操作步骤
请参考导入设备证书执行导入设备CA证书操作。
后续处理
当设备侧的CA更新时,您需要参考导入设备证书导入设备新的CA证书。操作时,保持证书别名与旧的证书别名一致即可替换旧的证书。