Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Verwalten von öffentlichen SSH-Schlüsseln und X.509-Zertifikaten für ein Administratorkonto

Beitragende
PDFs

Um die SSH-Authentifizierungssicherheit mit Administratorkonten zu erhöhen, können Sie security login publickey den öffentlichen SSH-Schlüssel und seine Zuordnung zu X.509-Zertifikaten mit dem Befehlssatz verwalten.

Verknüpfen Sie einen öffentlichen Schlüssel und ein X.509-Zertifikat mit einem Administratorkonto

Ab ONTAP 9.13.1 können Sie ein X.509-Zertifikat mit dem öffentlichen Schlüssel verknüpfen, den Sie mit dem Administratorkonto verknüpfen. Dadurch erhalten Sie die zusätzliche Sicherheit bei der Überprüfung des Zertifikatablaufs oder des Widerrufs bei der SSH-Anmeldung für dieses Konto.

Über diese Aufgabe

Wenn Sie ein Konto über SSH sowohl mit einem öffentlichen SSH-Schlüssel als auch mit einem X.509-Zertifikat authentifizieren, überprüft ONTAP die Gültigkeit des X.509-Zertifikats, bevor es sich mit dem öffentlichen SSH-Schlüssel authentifiziert. Die SSH-Anmeldung wird abgelehnt, wenn das Zertifikat abgelaufen ist oder widerrufen wurde, und der öffentliche Schlüssel wird automatisch deaktiviert.

Bevor Sie beginnen

  • Sie müssen ein Cluster- oder SVM-Administrator sein, um diese Aufgabe durchzuführen.

  • Sie müssen den SSH-Schlüssel generiert haben.

  • Wenn Sie nur das X.509-Zertifikat auf Gültigkeit prüfen müssen, können Sie ein selbstsigniertes Zertifikat verwenden.

  • Wenn Sie das X.509-Zertifikat auf Ablaufdatum und Widerruf prüfen müssen:

    • Sie müssen das Zertifikat von einer Zertifizierungsstelle erhalten haben.

    • Sie müssen die Zertifikatskette (Zwischen- und Stammzertifizierungsstellen) mithilfe von security certificate install Befehlen installieren.

    • Sie müssen OCSP für SSH aktivieren. Anweisungen hierzu finden Sie unter "Überprüfen Sie, ob digitale Zertifikate mit OCSP gültig sind" .

Schritte

  1. Einen öffentlichen Schlüssel und ein X.509-Zertifikat einem Administratorkonto zuordnen:

    security login publickey create -vserver SVM_name -username user_name -index index -publickey certificate -x509-certificate install

    Eine vollständige Befehlssyntax finden Sie in der Arbeitsblattreferenz für "Verknüpfen eines öffentlichen Schlüssels mit einem Benutzerkonto".

  2. Überprüfen Sie die Änderung, indem Sie den öffentlichen Schlüssel anzeigen:

    security login publickey show -vserver SVM_name -username user_name -index index

Beispiel

Mit dem folgenden Befehl werden ein öffentlicher Schlüssel und ein X.509-Zertifikat dem SVM-Administratorkonto svmadmin2 für die SVM zugeordnet engData2. Der öffentliche Schlüssel wird mit der Indexnummer 6 belegt.

cluster1::> security login publickey create -vserver engData2 -username svmadmin2 -index 6 -publickey
"<key text>" -x509-certificate install
Please enter Certificate: Press <Enter> when done
<certificate text>

Entfernen Sie die Zertifikatszuordnung aus dem öffentlichen SSH-Schlüssel für ein Administratorkonto

Sie können die aktuelle Zertifikatzuordnung aus dem öffentlichen SSH-Schlüssel des Kontos entfernen und dabei den öffentlichen Schlüssel beibehalten.

Bevor Sie beginnen

Sie müssen ein Cluster- oder SVM-Administrator sein, um diese Aufgabe durchzuführen.

Schritte

  1. Entfernen Sie die X.509-Zertifikatszuordnung aus einem Administratorkonto, und behalten Sie den vorhandenen öffentlichen SSH-Schlüssel bei:

    security login publickey modify -vserver SVM_name -username user_name -index index -x509-certificate delete

  2. Überprüfen Sie die Änderung, indem Sie den öffentlichen Schlüssel anzeigen:

    security login publickey show -vserver SVM_name -username user_name -index index

Beispiel

Mit dem folgenden Befehl wird die X.509-Zertifikatzuordnung aus dem SVM-Administratorkonto svmadmin2 für die SVM engData2 unter Indexnummer 6 entfernt.

cluster1::> security login publickey modify -vserver engData2 -username svmadmin2 -index 6 -x509-certificate delete

Entfernen Sie den öffentlichen Schlüssel und die Zertifikatzuordnung aus einem Administratorkonto

Sie können den aktuellen öffentlichen Schlüssel und die Zertifikatkonfiguration aus einem Konto entfernen.

Bevor Sie beginnen

Sie müssen ein Cluster- oder SVM-Administrator sein, um diese Aufgabe durchzuführen.

Schritte

  1. Entfernen Sie den öffentlichen Schlüssel und eine X.509-Zertifikatzuordnung aus einem Administratorkonto:

    security login publickey delete -vserver SVM_name -username user_name -index index

  2. Überprüfen Sie die Änderung, indem Sie den öffentlichen Schlüssel anzeigen:

    security login publickey show -vserver SVM_name -username user_name -index index

Beispiel

Mit dem folgenden Befehl werden ein öffentlicher Schlüssel und ein X.509-Zertifikat aus dem SVM svmadmin3 engData3-Administratorkonto für die SVM unter Indexnummer 7 entfernt.

cluster1::> security login publickey delete -vserver engData3 -username svmadmin3 -index 7