Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Überprüfen Sie die Gültigkeit digitaler Zertifikate mit OCSP in ONTAP

Beitragende netapp-mwallis netapp-dbagwell netapp-barbe netapp-bhouser netapp-aaron-holt netapp-aherbin
PDFs

Mithilfe des Online Certificate Status Protocol (OCSP) können ONTAP -Anwendungen, die TLS-Kommunikation (Transport Layer Security) verwenden, den Status digitaler Zertifikate empfangen, wenn OCSP aktiviert ist. Sie können OCSP-Zertifikatsprüfungen für bestimmte Anwendungen jederzeit aktivieren oder deaktivieren. Standardmäßig ist die Überprüfung des OCSP-Zertifikatsstatus deaktiviert.

Bevor Sie beginnen

Sie benötigen einen erweiterten Zugriff auf die Berechtigungsebene, um diese Aufgabe ausführen zu können.

Über diese Aufgabe

OCSP unterstützt folgende Anwendungen:

  • AutoSupport

  • Event Management System (EMS)

  • LDAP über TLS

  • Key Management Interoperability Protocol (KMIP)

  • Audit-Protokollierung

  • FabricPool

  • SSH (ab ONTAP 9.13.1)

Schritte

  1. Stellen Sie die Berechtigungsebene auf erweitert: set -privilege advanced.

  2. Um OCSP-Zertifikatsprüfungen für bestimmte ONTAP-Anwendungen zu aktivieren oder zu deaktivieren, verwenden Sie den entsprechenden Befehl.

    Wenn Sie möchten, dass OCSP-Zertifikatsprüfungen für einige Anwendungen…​ Verwenden Sie den Befehl…​

    Aktiviert

    security config ocsp enable -app app name

    Deaktiviert

    security config ocsp disable -app app name

    Mit dem folgenden Befehl wird OCSP-Unterstützung für AutoSupport und EMS aktiviert.

    cluster::*> security config ocsp enable -app asup,ems

    Wenn OCSP aktiviert ist, erhält die Anwendung eine der folgenden Antworten:

    • Gut - das Zertifikat ist gültig und die Kommunikation wird fortgesetzt.

    • Widerrufen: Das Zertifikat wird von der ausstellenden Zertifizierungsstelle dauerhaft als nicht vertrauenswürdig eingestuft und die Kommunikation kann nicht fortgesetzt werden.

    • Unbekannt – der Server verfügt über keine Statusinformationen zum Zertifikat und die Kommunikation kann nicht fortgesetzt werden.

    • OCSP-Serverinformationen fehlen im Zertifikat - der Server fungiert als deaktiviert und fährt mit der TLS-Kommunikation fort, aber es erfolgt keine Statusüberprüfung.

    • Keine Antwort vom OCSP-Server - die Anwendung schlägt fehl.

  3. Verwenden Sie den entsprechenden Befehl, um OCSP-Zertifikatsprüfungen für alle Anwendungen mithilfe von TLS-Kommunikation zu aktivieren oder zu deaktivieren.

    Wenn Sie möchten, dass OCSP-Zertifikatsprüfungen für alle Anwendungen durchgeführt werden…​ Verwenden Sie den Befehl…​

    Aktiviert

    security config ocsp enable

    -app all

    Deaktiviert

    security config ocsp disable

    -app all

    Wenn alle Applikationen aktiviert sind, wird eine signierte Antwort empfangen, die angibt, dass das angegebene Zertifikat in Ordnung, annulliert oder unbekannt ist. Im Fall eines annulliert Zertifikats kann die Anwendung nicht fortgesetzt werden. Wenn die Anwendung keine Antwort vom OCSP-Server erhält oder der Server nicht erreichbar ist, wird die Anwendung nicht fortgesetzt.

  4. Verwenden Sie den security config ocsp show Befehl, um alle Anwendungen anzuzeigen, die OCSP unterstützen, und ihren Supportstatus.

    cluster::*> security config ocsp show
         Application                        OCSP Enabled?
         --------------------               ---------------------
         autosupport                        false
         audit_log                          false
         fabricpool                         false
         ems                                false
         kmip                               false
         ldap_ad                            true
         ldap_nis_namemap                   true
         ssh                                true

         8 entries were displayed.
Verwandte Informationen