Verifique la firma del código del Mediador ONTAP
Sugerir cambios
PDF
NetApp recomienda verificar la firma del código del mediador ONTAP antes de la instalación. Este paso es opcional.
Asegúrese de que su sistema cumple con estos requisitos antes de verificar la firma de código del mediador ONTAP .
|
|
-
versiones de openssl 1.0.2 a 3.0 para verificación básica
-
la versión de openssl 1.1.0 o posterior para las operaciones de la Autoridad de fijación temporal (TSA)
-
Acceso público a Internet para verificación OCSP
El paquete de descarga incluye los siguientes archivos:
Archivo |
Descripción |
|
Clave pública utilizada para verificar la firma |
|
La cadena de confianza de CA de certificación pública |
|
El certificado utilizado para generar la clave |
|
El ejecutable de instalación del producto para la versión 1.11 |
|
El SHA-256 hash, luego RSA-firmado usando la clave csc-prod, firma para el instalador |
|
La solicitud de revocación para el uso por parte de OCSCP para la firma del instalador |
|
Archivo de solicitud de firma de marca de hora |
|
El certificado público para la TSR |
|
El certificado público CA Chain para la TSR |
-
Realice la comprobación de revocación
csc-prod-ONTAP-Mediator.pemmediante el protocolo de estado de certificado en línea (OCSP).-
Localice la URL OCSP del certificado. Los certificados de desarrollador podrían no proporcionar un URI:
openssl x509 -noout -ocsp_uri -in csc-prod-chain-ONTAP-Mediator.pem
-
Genere una solicitud OCSP para el certificado.
openssl ocsp -issuer csc-prod-chain-ONTAP-Mediator.pem -CAfile csc-prod-chain-ONTAP-Mediator.pem -cert csc-prod-ONTAP-Mediator.pem -reqout req.der
-
Conéctese al administrador de OCSP para enviar la solicitud OCSP:
openssl ocsp -issuer csc-prod-chain-ONTAP-Mediator.pem -CAfile csc-prod-chain-ONTAP-Mediator.pem -cert csc-prod-ONTAP-Mediator.pem -url ${ocsp_uri} -resp_text -respout resp.der -verify_other csc-prod-chain-ONTAP-Mediator.pem
-
-
Verifique la cadena de confianza del CSC y las fechas de vencimiento con respecto al host local:
openssl verify
openssl`La versión de LA RUTA DE ACCESO debe tener un valor válido `cert.pem(no autofirmado).openssl verify -untrusted csc-prod-chain-ONTAP-Mediator.pem -CApath ${OPENSSLDIR} csc-prod-ONTAP-Mediator.pem # Failure action: The Code-Signature-Check certificate has expired or is invalid. Download a newer version of the ONTAP Mediator. openssl verify -untrusted tsa-prod-chain-ONTAP-Mediator.pem -CApath ${OPENSSLDIR} tsa-prod-ONTAP-Mediator.pem # Failure action: The Time-Stamp certificate has expired or is invalid. Download a newer version of the ONTAP Mediator. -
Verifique el
ontap-mediator-1.11.0.sig.tsryontap-mediator-1.11.0.tsrarchivos que utilizan los certificados asociados:OpenSSL 3.xopenssl ts -verify -data ontap-mediator-1.11.0.sig -in ontap-mediator-1.11.0.sig.tsr -CAfile tsa-prod-chain-ONTAP-Mediator.pem -untrusted tsa-prod-ONTAP-Mediator.pemOpenSSL 1.xopenssl ts -verify -data ontap-mediator-1.11.0 -in ontap-mediator-1.11.0.tsr -CAfile tsa-prod-chain-ONTAP-Mediator.pem -partial_chain
`.tsr`Los archivos contienen la marca de tiempo de la respuesta asociada con el instalador y la firma del código. El procesamiento confirma que la marca de tiempo tiene una firma válida de la TSA y que su archivo de entrada no ha cambiado. Tu máquina realiza la verificación localmente. No necesitas acceder a los servidores de la TSA. -
Verificar firmas con respecto a la clave:
openssl -dgst -verifyopenssl dgst -sha256 -verify ONTAP-Mediator-production.pub -signature ontap-mediator-1.11.0.sig ontap-mediator-1.11.0