Ersetzen Sie SSL-Zertifikate
Änderungen vorschlagen
PDFs
Alle SSL-Zertifikate haben ein Ablaufdatum. Sie müssen Ihre Zertifikate aktualisieren, bevor sie ablaufen, um den Verlust des Zugriffs auf Authentifizierungsschlüssel zu verhindern.
-
Sie müssen das öffentliche Ersatzzertifikat und den privaten Schlüssel für das Cluster (KMIP-Client-Zertifikat) erhalten haben.
-
Sie müssen das öffentliche Ersatzzertifikat für den KMIP-Server (KMIP-Server-Ca-Zertifikat) erhalten haben.
-
Sie müssen ein Cluster- oder SVM-Administrator sein, um diese Aufgabe durchzuführen.
-
Wenn Sie die KMIP-SSL-Zertifikate in einer MetroCluster-Umgebung ersetzen, müssen Sie auf beiden Clustern das gleiche KMIP-SSL-Ersatzzertifikat installieren.
|
Sie können den Ersatz-Client und die Serverzertifikate vor oder nach der Installation der Zertifikate auf dem Cluster auf dem KMIP-Server installieren. |
-
Installieren Sie das neue KMIP Server-Ca-Zertifikat:
security certificate install -type server-ca -vserver <> -
Installieren Sie das neue KMIP-Client-Zertifikat:
security certificate install -type client -vserver <> -
Aktualisieren Sie die Konfiguration des Schlüsselmanagers, um die neu installierten Zertifikate zu verwenden:
security key-manager external modify -vserver <> -client-cert <> -server-ca-certs <>Wenn Sie ONTAP 9.6 oder höher in einer MetroCluster-Umgebung ausführen und die Schlüsselmanager-Konfiguration auf der Admin-SVM ändern möchten, müssen Sie den Befehl in der Konfiguration auf beiden Clustern ausführen.
|
|
Wenn Sie die Konfiguration des Schlüsselmanagers zur Verwendung der neu installierten Zertifikate aktualisieren, wird ein Fehler ausgegeben, wenn sich die öffentlichen/privaten Schlüssel des neuen Clientzertifikats von den zuvor installierten Schlüsseln unterscheiden. "Das neue öffentliche oder private Clientzertifikat unterscheidet sich vom vorhandenen Clientzertifikat"Anweisungen zum Überschreiben dieses Fehlers finden Sie im Knowledge Base-Artikel. |