Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Erstellen und installieren Sie eine Übersicht über ein CA-signiertes Serverzertifikat

Beitragende

Auf Produktionssystemen ist es eine Best Practice, ein von CA signiertes digitales Zertifikat zur Authentifizierung des Clusters oder der SVM als SSL-Server zu installieren. Sie können mit dem security certificate generate-csr Befehl eine Zertifikatsignierungsanforderung (CSR) generieren und mit dem security certificate install Befehl das Zertifikat installieren, das Sie von der Zertifizierungsstelle zurückerhalten.

Generieren Sie eine Anforderung zum Signieren eines Zertifikats

Mit dem security certificate generate-csr Befehl können Sie eine Zertifikatsignierungsanforderung (CSR) generieren. Nach Bearbeitung Ihrer Anfrage sendet Ihnen die Zertifizierungsstelle (CA) das signierte digitale Zertifikat.

Bevor Sie beginnen

Sie müssen ein Cluster- oder SVM-Administrator sein, um diese Aufgabe durchzuführen.

Schritte
  1. CSR erstellen:

    security certificate generate-csr -common-name FQDN_or_common_name -size 512|1024|1536|2048 -country country -state state -locality locality -organization organization -unit unit -email-addr email_of_contact -hash-function SHA1|SHA256|MD5
    Cli

    Mit dem folgenden Befehl wird ein CSR mit einem 2048-Bit privaten Schlüssel erstellt, der durch die Hashing-Funktion erzeugt SHA256 wird, um von der Gruppe in der IT Abteilung eines Unternehmens verwendet Software zu werden, dessen benutzerdefinierter gemeinsamer Name server1.companyname.com in Sunnyvale, Kalifornien, USA liegt. Die E-Mail-Adresse des SVM-Kontaktadministrators lautet web@example.com. Das System zeigt den CSR und den privaten Schlüssel in der Ausgabe an.

    Beispiel für das Erstellen einer CSR
    cluster1::>security certificate generate-csr -common-name server1.companyname.com -size 2048 -country US -state California -locality Sunnyvale -organization IT -unit Software -email-addr web@example.com -hash-function SHA256
    
    Certificate Signing Request :
    -----BEGIN CERTIFICATE REQUEST-----
    <certificate_value>
    -----END CERTIFICATE REQUEST-----
    
    
    Private Key :
    -----BEGIN RSA PRIVATE KEY-----
    <key_value>
    -----END RSA PRIVATE KEY-----
    
    NOTE: Keep a copy of your certificate request and private key for future reference.
  2. Kopieren Sie die Zertifikatsanforderung aus der CSR-Ausgabe, und senden Sie sie in elektronischer Form (z. B. E-Mail) an eine vertrauenswürdige Drittanbieter-CA zum Signieren.

    Nach Bearbeitung Ihrer Anfrage sendet Ihnen die CA das signierte digitale Zertifikat. Sie sollten eine Kopie des privaten Schlüssels und des CA-signierten digitalen Zertifikats aufbewahren.

Installieren Sie ein CA-signiertes Serverzertifikat

Sie können mit dem security certificate install Befehl ein CA-signiertes Serverzertifikat auf einer SVM installieren. ONTAP fordert Sie auf, die Stammzertifikate und Zwischenzertifikate der Zertifizierungsstelle (CA) anzugeben, die die Zertifikatskette des Serverzertifikats bilden.

Bevor Sie beginnen

Sie müssen ein Cluster- oder SVM-Administrator sein, um diese Aufgabe durchzuführen.

Schritt
  1. Installieren eines CA-signierten Serverzertifikats:

    security certificate install -vserver SVM_name -type certificate_type
    Cli

    Vollständige Befehlssyntax finden Sie im "Arbeitsblatt".

    Hinweis

    ONTAP fordert Sie zur Eingabe der CA-Stammzertifikate und der Zwischenzertifikate auf, die die Zertifikatskette des Serverzertifikats bilden. Die Kette beginnt mit dem Zertifikat der Zertifizierungsstelle, die das Serverzertifikat ausgestellt hat, und kann bis zum Stammzertifikat der Zertifizierungsstelle reichen. Fehlende Zwischenzertifikate führen zum Ausfall der Serverzertifikatinstallation.

    Mit dem folgenden Befehl werden das CA-signierte Serverzertifikat und die Zwischenzertifikate auf SVM installiert engData2.

    Beispiel für die Installation eines CA-signierten Server-Zertifikats für Zwischenzertifikate
    cluster1::>security certificate install -vserver engData2 -type server
    Please enter Certificate: Press <Enter> when done
    -----BEGIN CERTIFICATE-----
    <certificate_value>
    -----END CERTIFICATE-----
    
    
    Please enter Private Key: Press <Enter> when done
    -----BEGIN RSA PRIVATE KEY-----
    <key_value>
    -----END RSA PRIVATE KEY-----
    
    Do you want to continue entering root and/or intermediate certificates {y|n}: y
    
    Please enter Intermediate Certificate: Press <Enter> when done
    -----BEGIN CERTIFICATE-----
    <certificate_value>
    -----END CERTIFICATE-----
    
    
    Do you want to continue entering root and/or intermediate certificates {y|n}: y
    
    Please enter Intermediate Certificate: Press <Enter> when done
    -----BEGIN CERTIFICATE-----
    <certificate_value>
    -----END CERTIFICATE-----
    
    
    Do you want to continue entering root and/or intermediate certificates {y|n}: n
    
    You should keep a copy of the private key and the CA-signed digital certificate for future reference.