Erstellen und installieren Sie eine Übersicht über ein CA-signiertes Serverzertifikat
Auf Produktionssystemen ist es eine Best Practice, ein von CA signiertes digitales Zertifikat zur Authentifizierung des Clusters oder der SVM als SSL-Server zu installieren. Sie können mit dem security certificate generate-csr
Befehl eine Zertifikatsignierungsanforderung (CSR) generieren und mit dem security certificate install
Befehl das Zertifikat installieren, das Sie von der Zertifizierungsstelle zurückerhalten.
Generieren Sie eine Anforderung zum Signieren eines Zertifikats
Mit dem security certificate generate-csr
Befehl können Sie eine Zertifikatsignierungsanforderung (CSR) generieren. Nach Bearbeitung Ihrer Anfrage sendet Ihnen die Zertifizierungsstelle (CA) das signierte digitale Zertifikat.
Sie müssen ein Cluster- oder SVM-Administrator sein, um diese Aufgabe durchzuführen.
-
CSR erstellen:
Mit dem folgenden Befehl wird ein CSR mit einem 2048-Bit privaten Schlüssel erstellt, der durch die Hashing-Funktion erzeugt
SHA256
wird, um von der Gruppe in derIT
Abteilung eines Unternehmens verwendetSoftware
zu werden, dessen benutzerdefinierter gemeinsamer Nameserver1.companyname.com
in Sunnyvale, Kalifornien, USA liegt. Die E-Mail-Adresse des SVM-Kontaktadministrators lautetweb@example.com
. Das System zeigt den CSR und den privaten Schlüssel in der Ausgabe an.Beispiel für das Erstellen einer CSR
cluster1::>security certificate generate-csr -common-name server1.companyname.com -size 2048 -country US -state California -locality Sunnyvale -organization IT -unit Software -email-addr web@example.com -hash-function SHA256 Certificate Signing Request : -----BEGIN CERTIFICATE REQUEST----- <certificate_value> -----END CERTIFICATE REQUEST----- Private Key : -----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY----- NOTE: Keep a copy of your certificate request and private key for future reference.
-
Kopieren Sie die Zertifikatsanforderung aus der CSR-Ausgabe, und senden Sie sie in elektronischer Form (z. B. E-Mail) an eine vertrauenswürdige Drittanbieter-CA zum Signieren.
Nach Bearbeitung Ihrer Anfrage sendet Ihnen die CA das signierte digitale Zertifikat. Sie sollten eine Kopie des privaten Schlüssels und des CA-signierten digitalen Zertifikats aufbewahren.
Installieren Sie ein CA-signiertes Serverzertifikat
Sie können mit dem security certificate install
Befehl ein CA-signiertes Serverzertifikat auf einer SVM installieren. ONTAP fordert Sie auf, die Stammzertifikate und Zwischenzertifikate der Zertifizierungsstelle (CA) anzugeben, die die Zertifikatskette des Serverzertifikats bilden.
Sie müssen ein Cluster- oder SVM-Administrator sein, um diese Aufgabe durchzuführen.
-
Installieren eines CA-signierten Serverzertifikats:
Vollständige Befehlssyntax finden Sie im "Arbeitsblatt".
ONTAP fordert Sie zur Eingabe der CA-Stammzertifikate und der Zwischenzertifikate auf, die die Zertifikatskette des Serverzertifikats bilden. Die Kette beginnt mit dem Zertifikat der Zertifizierungsstelle, die das Serverzertifikat ausgestellt hat, und kann bis zum Stammzertifikat der Zertifizierungsstelle reichen. Fehlende Zwischenzertifikate führen zum Ausfall der Serverzertifikatinstallation.
Mit dem folgenden Befehl werden das CA-signierte Serverzertifikat und die Zwischenzertifikate auf SVM installiert
engData2
.Beispiel für die Installation eines CA-signierten Server-Zertifikats für Zwischenzertifikate
cluster1::>security certificate install -vserver engData2 -type server Please enter Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- Please enter Private Key: Press <Enter> when done -----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY----- Do you want to continue entering root and/or intermediate certificates {y|n}: y Please enter Intermediate Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- Do you want to continue entering root and/or intermediate certificates {y|n}: y Please enter Intermediate Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- Do you want to continue entering root and/or intermediate certificates {y|n}: n You should keep a copy of the private key and the CA-signed digital certificate for future reference.