Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Verifique que los certificados digitales sean válidos mediante OCSP

Colaboradores
PDF

A partir de ONTAP 9.2, el protocolo de estado de certificado en línea (OCSP) habilita las aplicaciones ONTAP que utilizan comunicaciones de seguridad de capa de transporte (TLS) para recibir el estado de certificado digital cuando OCSP está habilitado. Es posible habilitar o deshabilitar las comprobaciones de estado de certificados de OCSP para aplicaciones específicas en cualquier momento. De manera predeterminada, la comprobación del estado de los certificados OCSP está deshabilitada.

Lo que necesitará

Necesita acceso de nivel de privilegio avanzado para realizar esta tarea.

Acerca de esta tarea

OCSP admite las siguientes aplicaciones:

  • AutoSupport

  • Sistema de gestión de eventos (EMS)

  • LDAP sobre TLS

  • Protocolo de interoperabilidad de gestión de claves (KMIP)

  • Registro de auditoría

  • FabricPool

  • SSH (a partir de ONTAP 9.13.1)

Pasos

  1. Configure el nivel de privilegio en Advanced: set -privilege advanced.

  2. Para habilitar o deshabilitar las comprobaciones de estado de certificados de OCSP para aplicaciones de ONTAP específicas, utilice el comando correspondiente.

    Si desea que las comprobaciones del estado del certificado OCSP para que algunas aplicaciones sean…​ Usar el comando…​

    Activado

    security config ocsp enable -app app name

    Deshabilitado

    security config ocsp disable -app app name

    El siguiente comando habilita la compatibilidad de OCSP para AutoSupport y EMS.

    cluster::*> security config ocsp enable -app asup,ems

    Cuando OCSP está habilitado, la aplicación recibe una de las siguientes respuestas:

    • Correcto: El certificado es válido y la comunicación continúa.

    • Revocado: La autoridad emisora de certificados considera permanentemente que el certificado no es de confianza y la comunicación no continúa.

    • Unknown: El servidor no tiene ninguna información de estado sobre el certificado y la comunicación no continúa.

    • Falta información del servidor OCSP en el certificado: El servidor actúa como si OCSP está deshabilitado y continúa con la comunicación TLS, pero no se produce ninguna comprobación de estado.

    • Sin respuesta del servidor OCSP: La aplicación no puede continuar.

  3. Para habilitar o deshabilitar las comprobaciones de estado de certificados OCSP para todas las aplicaciones que utilizan comunicaciones TLS, utilice el comando correspondiente.

    Si desea que las comprobaciones del estado del certificado OCSP para que todas las aplicaciones sean…​ Usar el comando…​

    Activado

    security config ocsp enable

    -app all

    Deshabilitado

    security config ocsp disable

    -app all

    Cuando se habilita, todas las aplicaciones reciben una respuesta firmada que significa que el certificado especificado es correcto, revocado o desconocido. En el caso de un certificado revocado, la solicitud no continuará. Si la aplicación no recibe una respuesta del servidor OCSP o si no se puede acceder al servidor, la aplicación no podrá continuar.

  4. Utilice la security config ocsp show Comando para mostrar todas las aplicaciones compatibles con OCSP y su estado de soporte.

    cluster::*> security config ocsp show
         Application                        OCSP Enabled?
         --------------------               ---------------------
         autosupport                        false
         audit_log                          false
         fabricpool                         false
         ems                                false
         kmip                               false
         ldap_ad                            true
         ldap_nis_namemap                   true
         ssh                                true

         8 entries were displayed.