Ersetzen Sie KMIP-SSL-Zertifikate auf dem ONTAP Cluster
Änderungen vorschlagen
PDFs
Alle SSL-Zertifikate haben ein Ablaufdatum. Sie müssen Ihre Zertifikate aktualisieren, bevor sie ablaufen, um den Verlust des Zugriffs auf Authentifizierungsschlüssel zu verhindern.
-
Sie müssen das öffentliche Ersatzzertifikat und den privaten Schlüssel für das Cluster (KMIP-Client-Zertifikat) erhalten haben.
-
Sie müssen das öffentliche Ersatzzertifikat für den KMIP-Server (KMIP-Server-Ca-Zertifikat) erhalten haben.
-
Sie müssen ein Cluster- oder SVM-Administrator sein, um diese Aufgabe durchzuführen.
-
Wenn Sie die KMIP-SSL-Zertifikate in einer MetroCluster-Umgebung ersetzen, müssen Sie auf beiden Clustern das gleiche KMIP-SSL-Ersatzzertifikat installieren.
|
Sie können den Ersatz-Client und die Serverzertifikate vor oder nach der Installation der Zertifikate auf dem Cluster auf dem KMIP-Server installieren. |
-
Installieren Sie das neue KMIP Server-Ca-Zertifikat:
security certificate install -type server-ca -vserver <> -
Installieren Sie das neue KMIP-Client-Zertifikat:
security certificate install -type client -vserver <> -
Aktualisieren Sie die Konfiguration des Schlüsselmanagers, um die neu installierten Zertifikate zu verwenden:
security key-manager external modify -vserver <> -client-cert <> -server-ca-certs <>Wenn Sie ONTAP 9.6 oder höher in einer MetroCluster-Umgebung ausführen und die Schlüsselmanager-Konfiguration auf der Admin-SVM ändern möchten, müssen Sie den Befehl in der Konfiguration auf beiden Clustern ausführen.
|
|
Beim Aktualisieren der Schlüsselmanagerkonfiguration zur Verwendung der neu installierten Zertifikate wird ein Fehler zurückgegeben, wenn sich die öffentlichen/privaten Schlüssel des neuen Clientzertifikats von den zuvor installierten Schlüsseln unterscheiden. Siehe die"NetApp Knowledge Base: Die öffentlichen oder privaten Schlüssel des neuen Client-Zertifikats unterscheiden sich vom vorhandenen Client-Zertifikat" Anweisungen zum Überschreiben dieses Fehlers finden Sie unter. |