Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Verificar que los certificados digitales sean válidos usando OCSP en ONTAP

Colaboradores netapp-mwallis netapp-dbagwell netapp-barbe netapp-bhouser netapp-aaron-holt netapp-aherbin
PDF

El Protocolo de estado de certificado en línea (OCSP) permite que las aplicaciones ONTAP que utilizan comunicaciones de seguridad de la capa de transporte (TLS) reciban el estado del certificado digital cuando OCSP está habilitado. Es posible habilitar o deshabilitar las comprobaciones de estado de certificados de OCSP para aplicaciones específicas en cualquier momento. De manera predeterminada, la comprobación del estado de los certificados OCSP está deshabilitada.

Antes de empezar

Necesita acceso de nivel de privilegio avanzado para realizar esta tarea.

Acerca de esta tarea

OCSP admite las siguientes aplicaciones:

  • AutoSupport

  • Sistema de gestión de eventos (EMS)

  • LDAP sobre TLS

  • Protocolo de interoperabilidad de gestión de claves (KMIP)

  • Registro de auditoría

  • FabricPool

  • SSH (a partir de ONTAP 9.13.1)

Pasos

  1. Establezca el nivel de privilegio en AVANZADO set -privilege advanced: .

  2. Para habilitar o deshabilitar las comprobaciones de estado de certificados de OCSP para aplicaciones de ONTAP específicas, utilice el comando correspondiente.

    Si desea que las comprobaciones del estado del certificado OCSP para que algunas aplicaciones sean…​ Usar el comando…​

    Activado

    security config ocsp enable -app app name

    Deshabilitado

    security config ocsp disable -app app name

    El siguiente comando habilita la compatibilidad de OCSP para AutoSupport y EMS.

    cluster::*> security config ocsp enable -app asup,ems

    Cuando OCSP está habilitado, la aplicación recibe una de las siguientes respuestas:

    • Correcto: El certificado es válido y la comunicación continúa.

    • Revocado: La autoridad emisora de certificados considera permanentemente que el certificado no es de confianza y la comunicación no continúa.

    • Unknown: El servidor no tiene ninguna información de estado sobre el certificado y la comunicación no continúa.

    • Falta información del servidor OCSP en el certificado: El servidor actúa como si OCSP está deshabilitado y continúa con la comunicación TLS, pero no se produce ninguna comprobación de estado.

    • Sin respuesta del servidor OCSP: La aplicación no puede continuar.

  3. Para habilitar o deshabilitar las comprobaciones de estado de certificados OCSP para todas las aplicaciones que utilizan comunicaciones TLS, utilice el comando correspondiente.

    Si desea que las comprobaciones del estado del certificado OCSP para que todas las aplicaciones sean…​ Usar el comando…​

    Activado

    security config ocsp enable

    -app all

    Deshabilitado

    security config ocsp disable

    -app all

    Cuando se habilita, todas las aplicaciones reciben una respuesta firmada que significa que el certificado especificado es correcto, revocado o desconocido. En el caso de un certificado revocado, la solicitud no continuará. Si la aplicación no recibe una respuesta del servidor OCSP o si no se puede acceder al servidor, la aplicación no podrá continuar.

  4. Utilice security config ocsp show el comando para mostrar todas las aplicaciones que admiten OCSP y su estado de soporte.

    cluster::*> security config ocsp show
         Application                        OCSP Enabled?
         --------------------               ---------------------
         autosupport                        false
         audit_log                          false
         fabricpool                         false
         ems                                false
         kmip                               false
         ldap_ad                            true
         ldap_nis_namemap                   true
         ssh                                true

         8 entries were displayed.
Información relacionada