Gestione claves públicas SSH y certificados X,509 para administradores de ONTAP
Para una mayor seguridad de autenticación SSH con cuentas de administrador, puede usar el security login publickey
conjunto de comandos para administrar la clave pública SSH y su asociación con los certificados X,509.
Asocie una clave pública y un certificado X,509 a una cuenta de administrador
A partir de ONTAP 9.13.1, puede asociar un certificado X,509 a la clave pública asociada a la cuenta de administrador. Esto le proporciona la seguridad añadida de las comprobaciones de caducidad o revocación de certificados al iniciar sesión SSH para esa cuenta.
Si autentica una cuenta a través de SSH con una clave pública SSH y un certificado X,509, ONTAP comprueba la validez del certificado X,509 antes de autenticarse con la clave pública SSH. El inicio de sesión SSH se rechazará si ese certificado caduca o se revoca y la clave pública se deshabilitará automáticamente.
-
Debe ser un administrador de clúster o de SVM para ejecutar esta tarea.
-
Debe haber generado la clave SSH.
-
Si solo necesita que el certificado X,509 sea verificado para su vencimiento, puede usar un certificado autofirmado.
-
Si necesita que el certificado X,509 sea comprobado para su vencimiento y revocación:
-
Debe haber recibido el certificado de una CA.
-
Debe instalar la cadena de certificados (certificados de CA intermedios y raíz) con
security certificate install
comandos. Obtenga más información sobresecurity certificate install
en el "Referencia de comandos del ONTAP". -
Debe habilitar OCSP para SSH. Consulte "Verifique que los certificados digitales sean válidos mediante OCSP" para obtener instrucciones.
-
-
Asocie una clave pública y un certificado X,509 a una cuenta de administrador:
security login publickey create -vserver SVM_name -username user_name -index index -publickey certificate -x509-certificate install
Obtenga más información sobre
security login publickey create
en el "Referencia de comandos del ONTAP". -
Verifique el cambio visualizando la clave pública:
security login publickey show -vserver SVM_name -username user_name -index index
Obtenga más información sobre
security login publickey show
en el "Referencia de comandos del ONTAP".
El siguiente comando asocia una clave pública y un certificado X,509 a la cuenta de administrador de SVM svmadmin2
para la SVM engData2
. A la clave pública se le asigna el número de índice 6.
cluster1::> security login publickey create -vserver engData2 -username svmadmin2 -index 6 -publickey "<key text>" -x509-certificate install Please enter Certificate: Press <Enter> when done <certificate text>
Elimine la asociación de certificados de la clave pública SSH para una cuenta de administrador
Puede eliminar la asociación de certificados actual de la clave pública SSH de la cuenta, mientras conserva la clave pública.
Debe ser un administrador de clúster o de SVM para ejecutar esta tarea.
-
Elimine la asociación de certificados X,509 de una cuenta de administrador y conserve la clave pública SSH existente:
security login publickey modify -vserver SVM_name -username user_name -index index -x509-certificate delete
Obtenga más información sobre
security login publickey modify
en el "Referencia de comandos del ONTAP". -
Verifique el cambio visualizando la clave pública:
security login publickey show -vserver SVM_name -username user_name -index index
El siguiente comando quita la asociación de certificados X,509 de la cuenta de administrador de SVM svmadmin2
para la SVM engData2
en el número de índice 6.
cluster1::> security login publickey modify -vserver engData2 -username svmadmin2 -index 6 -x509-certificate delete
Elimine la asociación de clave pública y certificado de una cuenta de administrador
Puede eliminar la configuración de clave pública y certificado actual de una cuenta.
Debe ser un administrador de clúster o de SVM para ejecutar esta tarea.
-
Elimine la clave pública y una asociación de certificados X,509 de una cuenta de administrador:
security login publickey delete -vserver SVM_name -username user_name -index index
Obtenga más información sobre
security login publickey delete
en el "Referencia de comandos del ONTAP". -
Verifique el cambio visualizando la clave pública:
security login publickey show -vserver SVM_name -username user_name -index index
El siguiente comando quita una clave pública y un certificado X,509 de la cuenta de administrador de SVM svmadmin3
para la SVM engData3
en el número de índice 7.
cluster1::> security login publickey delete -vserver engData3 -username svmadmin3 -index 7