Überprüfen Sie die ONTAP Mediator-Code-Signatur
Änderungen vorschlagen
PDFs
NetApp empfiehlt, die Codesignatur des ONTAP Mediators vor der Installation zu überprüfen. Dieser Schritt ist optional.
Stellen Sie sicher, dass Ihr System diese Anforderungen erfüllt, bevor Sie die Codesignatur des ONTAP Mediators überprüfen.
|
|
-
openssl-Versionen 1.0.2 bis 3.0 für grundlegende Überprüfung
-
openssl Version 1.1.0 oder höher für den Betrieb der TSA (Time Stamping Authority)
-
Öffentlicher Internetzugang zur OCSP-Verifizierung
Das Downloadpaket enthält folgende Dateien:
Datei |
Beschreibung |
|
Der öffentliche Schlüssel, der zur Überprüfung der Signatur verwendet wird |
|
Die öffentliche Zertifizierung CA-Kette des Vertrauens |
|
Das Zertifikat, mit dem der Schlüssel generiert wird |
|
Die Installationsdatei für Version 1.11 |
|
Der SHA-256 wurde gehasht, dann RSA-signiert mit dem csc-prod-Schlüssel, Signatur für das Installationsprogramm |
|
Die Annullierungsanfrage für die Verwendung durch OCSCP für die Unterschrift des Installers |
|
Die Anforderungsdatei für die Zeitstempelsignierung |
|
Das öffentliche Zertifikat für den TSR |
|
Das öffentliche Zertifikat CA-Kette für den TSR |
-
Führen Sie die Sperrprüfung
csc-prod-ONTAP-Mediator.pemmit dem Online Certificate Status Protocol (OCSP) durch.-
Ermitteln Sie die OCSP-URL für das Zertifikat. Entwicklerzertifikate liefern möglicherweise keine URI:
openssl x509 -noout -ocsp_uri -in csc-prod-chain-ONTAP-Mediator.pem
-
Erstellen Sie eine OCSP-Anfrage für das Zertifikat.
openssl ocsp -issuer csc-prod-chain-ONTAP-Mediator.pem -CAfile csc-prod-chain-ONTAP-Mediator.pem -cert csc-prod-ONTAP-Mediator.pem -reqout req.der
-
Verbinden Sie sich mit dem OCSP-Manager, um die OCSP-Anfrage zu senden:
openssl ocsp -issuer csc-prod-chain-ONTAP-Mediator.pem -CAfile csc-prod-chain-ONTAP-Mediator.pem -cert csc-prod-ONTAP-Mediator.pem -url ${ocsp_uri} -resp_text -respout resp.der -verify_other csc-prod-chain-ONTAP-Mediator.pem
-
-
Überprüfung der Vertrauenskette des Kundensupportzentrums und der Ablaufdaten am lokalen Host:
openssl verify
Die opensslVersion vom PFAD muss eine gültigecert.pem(nicht selbstsignierte) Version haben.openssl verify -untrusted csc-prod-chain-ONTAP-Mediator.pem -CApath ${OPENSSLDIR} csc-prod-ONTAP-Mediator.pem # Failure action: The Code-Signature-Check certificate has expired or is invalid. Download a newer version of the ONTAP Mediator. openssl verify -untrusted tsa-prod-chain-ONTAP-Mediator.pem -CApath ${OPENSSLDIR} tsa-prod-ONTAP-Mediator.pem # Failure action: The Time-Stamp certificate has expired or is invalid. Download a newer version of the ONTAP Mediator. -
Überprüfen Sie die
ontap-mediator-1.11.0.sig.tsrUndontap-mediator-1.11.0.tsrDateien, die die zugehörigen Zertifikate verwenden:OpenSSL 3.xopenssl ts -verify -data ontap-mediator-1.11.0.sig -in ontap-mediator-1.11.0.sig.tsr -CAfile tsa-prod-chain-ONTAP-Mediator.pem -untrusted tsa-prod-ONTAP-Mediator.pemOpenSSL 1.xopenssl ts -verify -data ontap-mediator-1.11.0 -in ontap-mediator-1.11.0.tsr -CAfile tsa-prod-chain-ONTAP-Mediator.pem -partial_chain
`.tsr`Die Dateien enthalten den Zeitstempel der Antwort des Installationsprogramms und die Codesignatur. Die Verarbeitung bestätigt, dass der Zeitstempel eine gültige Signatur der TSA aufweist und dass Ihre Eingabedatei nicht verändert wurde. Die Überprüfung wird lokal von Ihrem Rechner durchgeführt. Sie müssen nicht auf die TSA-Server zugreifen. -
Überprüfen Sie die Signaturen gegen den Schlüssel:
openssl -dgst -verifyopenssl dgst -sha256 -verify ONTAP-Mediator-production.pub -signature ontap-mediator-1.11.0.sig ontap-mediator-1.11.0