所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

eSight V300R009C00 维护指南 11

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
如何设置远程备份策略的连接协议为FTPS

如何设置远程备份策略的连接协议为FTPS

问题

使用FTPS协议连接远程服务器备份前,需要获取客户端的身份证书和信任证书进行相关设置。如何设置?

  • 维护工具FTPS客户端只支持FTPS服务端的隐式安全模式。
  • 由于维护工具FTPS客户端不支持TLS无状态会话(TLS session resumption),所以FTPS服务端不能使用TLS无状态会话的传输策略,需要用户自行对FTPS服务端进行设置,以下步骤中不做说明。

回答

Veritas高可用系统,请分别在主备服务器上执行,OMMHA双机,仅在主用服务器上执行如下操作即可。

  1. 从CA(Certificate Authority)机构申请客户端的证书。其中包含信任证书以及身份证书。
  2. 上传证书到服务器的“eSight安装目录/mttools/etc/certificate”目录下。
  3. 配置客户端证书信息。

    1. 打开配置文件“eSight安装目录/mttools/etc/sysconf/ftpsconfig.xml”。
    2. 将配置项“key-store-path”的值设置为客户端身份证书名称。证书格式要求JKS格式,关于证书格式的详细说明请参见安全证书
        <key-store-path>iemp.keystore.ftps</key-store-path>     
    3. 将配置项“key-store-password”的值设置为身份证书的加密密码。
        <key-store-password>@0102000000005a4d0cf128ae01a82d44e990bf91f16bfe9d124103026c498bbdbe0d49625828</key-store-password>

      密码需要用加密工具encrypt加密生成。

      • 在Windows操作系统中,需要使用“eSight安装目录/mttools/tools/bmetool/encrypt/encrypt.bat”工具来加密密钥。
      • 在Linux操作系统中,需要使用“eSight安装目录/mttools/tools/bmetool/encrypt/encrypt.sh”工具来加密密钥。
    4. 将配置项“trust-store-path”的值设置为客户端信任证书名称。证书格式要求JKS格式,关于证书格式的详细说明请参见安全证书
      <trust-store-path>iemp.truststore.ftps</trust-store-path>     
    5. 将配置项“trust-store-password”的值设置为信任证书的加密密码。
        <trust-store-password>@010223223220005a4d0cf128ae01a82d44e990bf91f16bfe9d124103026c498bbdbe0d49828</trust-store-password>

      密码需要用加密工具encrypt加密生成。

      • 在Windows操作系统中,需要使用“eSight安装目录/mttools/tools/bmetool/encrypt/encrypt.bat”工具来加密密钥。
      • 在Linux操作系统中,需要使用“eSight安装目录/mttools/tools/bmetool/encrypt/encrypt.sh”工具来加密密钥。
    6. 设置连接FTPS服务器时允许使用的TLS(Transport Layer Security)版本及加密算法。例如:
        <sslprotocol>TLSv1.2</sslprotocol> 
        <includeCipherSuites>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA</includeCipherSuites>     
    7. 配置进行服务端可信验证,即“isServerMustTrusted”配置为“true”。
      • true:进行服务端可信验证,不在客户端可信范围内的FTPS服务器不能作为远程备份策略中设置的服务器。
      • false:不进行服务端可信验证,任何FTPS服务器都可以作为远程备份策略中设置的服务器。

      配置为“false”时存在安全风险,不建议使用。

      例如:

       
          <isServerMustTrusted>true</isServerMustTrusted>
    8. 保存并关闭该配置文件。

  4. 重启维护工具。
翻译
下载文档
更新时间:2019-11-22

文档编号:EDOC1100011879

浏览量:31484

下载量:264

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页