Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Erstellen und installieren Sie ein CA-Zertifikat auf der SVM

Beitragende
PDFs

Um den HTTPS-Datenverkehr von S3-Clients auf die S3-fähige SVM zu aktivieren, ist ein CA-Zertifikat erforderlich. Durch die Verwendung von CA-Zertifikaten wird eine vertrauenswürdige Beziehung zwischen Client-Anwendungen und dem ONTAP-Objektspeicher-Server hergestellt. Ein CA-Zertifikat sollte auf ONTAP installiert werden, bevor es als Objektspeicher verwendet wird, auf den Remote-Clients zugreifen können.

Über diese Aufgabe

Zwar ist es möglich, einen S3-Server so zu konfigurieren, dass nur HTTP verwendet wird. Clients können zwar auch ohne CA-Zertifikat konfiguriert werden, es empfiehlt sich jedoch, den HTTPS-Datenverkehr auf ONTAP S3-Servern mit einem CA-Zertifikat zu sichern.

Ein CA-Zertifikat ist nicht erforderlich für einen lokalen Tiering-Anwendungsfall, bei dem der IP-Traffic nur über die Cluster LIFs erfolgt.

Die Anweisungen in diesem Verfahren erstellen und installieren ein selbstsigniertes ONTAP-Zertifikat. Obwohl ONTAP selbstsignierte Zertifikate generieren kann, empfiehlt es sich, signierte Zertifikate von einer Zertifizierungsstelle eines Drittanbieters zu verwenden. Weitere Informationen finden Sie in der Dokumentation zur Administratorauthentifizierung.

"Administratorauthentifizierung und RBAC"

`security certificate`Weitere Konfigurationsoptionen finden Sie auf den man-Pages.
Schritte

  1. Erstellen eines selbstsignierten digitalen Zertifikats:

    security certificate create -vserver svm_name -type root-ca -common-name ca_cert_name

    Die -type root-ca Option erstellt und installiert ein selbstsigniertes digitales Zertifikat, um andere Zertifikate durch die Funktion einer Zertifizierungsstelle zu signieren.

    Die -common-name Option erstellt den Namen der Zertifizierungsstelle (CA) der SVM und wird verwendet, wenn der vollständige Name des Zertifikats generiert wird.

    Die standardmäßige Zertifikatsgröße beträgt 2048 Bit.

    Beispiel

    cluster-1::> security certificate create -vserver svm1.example.com -type root-ca -common-name svm1_ca

The certificate's generated name for reference: svm1_ca_159D1587CE21E9D4_svm1_ca

    Wenn der generierte Name des Zertifikats angezeigt wird, speichern Sie ihn für die nachfolgenden Schritte.

  2. Erzeugen einer Anfrage zum Signieren eines Zertifikats:

    security certificate generate-csr -common-name s3_server_name [additional_options]

    Der -common-name Parameter für die Signaturanforderung muss der S3-Servername (FQDN) sein.

    Gegebenenfalls können Sie den Speicherort und weitere detaillierte Informationen zur SVM angeben.

    Sie werden aufgefordert, eine Kopie Ihrer Zertifikatsanfrage und einen privaten Schlüssel für zukünftige Referenz aufzubewahren.

  3. Signieren Sie die CSR mit SVM_CA, um das S3-Server-Zertifikat zu generieren:

    security certificate sign -vserver svm_name -ca ca_cert_name -ca-serial ca_cert_serial_number [additional_options]

    Geben Sie die Befehlsoptionen ein, die Sie in früheren Schritten verwendet haben:

    • -ca — der allgemeine Name der CA, den Sie in Schritt 1 eingegeben haben.

    • -ca-serial — die CA-Seriennummer aus Schritt 1. Wenn der Name des CA-Zertifikats beispielsweise svm1_ca_159D1587CE21E9D4_svm1_ca lautet, lautet die Seriennummer 159D1587CE21E9D4.

      Standardmäßig läuft das signierte Zertifikat in 365 Tagen ab. Sie können einen anderen Wert auswählen und weitere Signierungsdetails angeben.

      Wenn Sie dazu aufgefordert werden, kopieren Sie die Zeichenfolge für die Zertifikatanforderung, die Sie in Schritt 2 gespeichert haben, und geben Sie sie ein.

    Es wird ein signiertes Zertifikat angezeigt und zur späteren Verwendung gespeichert.

  4. Installieren Sie das signierte Zertifikat auf der S3-fähigen SVM:

    security certificate install -type server -vserver svm_name

    Geben Sie bei Aufforderung das Zertifikat und den privaten Schlüssel ein.

    Sie haben die Möglichkeit, Zwischenzertifikate einzugeben, wenn eine Zertifikatkette gewünscht wird.

    Wenn der private Schlüssel und das CA-signierte digitale Zertifikat angezeigt werden, speichern Sie sie für zukünftige Referenz.

  5. Holen Sie sich das Zertifikat für den öffentlichen Schlüssel:

    security certificate show -vserver svm_name -common-name ca_cert_name -type root-ca -instance

    Speichern Sie das Zertifikat für den öffentlichen Schlüssel für eine spätere Client-seitige Konfiguration.

    Beispiel

    cluster-1::> security certificate show -vserver svm1.example.com -common-name svm1_ca -type root-ca  -instance

                      Name of Vserver: svm1.example.com
           FQDN or Custom Common Name: svm1_ca
         Serial Number of Certificate: 159D1587CE21E9D4
                Certificate Authority: svm1_ca
                  Type of Certificate: root-ca
     (DEPRECATED)-Certificate Subtype: -
              Unique Certificate Name: svm1_ca_159D1587CE21E9D4_svm1_ca
Size of Requested Certificate in Bits: 2048
               Certificate Start Date: Thu May 09 10:58:39 2020
          Certificate Expiration Date: Fri May 08 10:58:39 2021
               Public Key Certificate: -----BEGIN CERTIFICATE-----
MIIDZ ...==
-----END CERTIFICATE-----
                         Country Name: US
               State or Province Name:
                        Locality Name:
                    Organization Name:
                    Organization Unit:
Contact Administrator's Email Address:
                             Protocol: SSL
                     Hashing Function: SHA256
              Self-Signed Certificate: true
       Is System Internal Certificate: false