Remplacer les certificats SSL
Suggérer des modifications
PDF
Tous les certificats SSL ont une date d'expiration. Vous devez mettre à jour vos certificats avant qu'ils n'expirent pour éviter toute perte d'accès aux clés d'authentification.
-
Vous devez avoir obtenu le certificat public et la clé privée de remplacement pour le cluster (certificat client KMIP).
-
Vous devez avoir obtenu le certificat public de remplacement pour le serveur KMIP (certificat KMIP Server-CA).
-
Pour effectuer cette tâche, vous devez être un administrateur de cluster ou de SVM.
-
Si vous remplacez les certificats SSL KMIP dans un environnement MetroCluster, vous devez installer le même certificat SSL KMIP de remplacement sur les deux clusters.
|
Vous pouvez installer les certificats client et serveur de remplacement sur le serveur KMIP avant ou après l'installation des certificats sur le cluster. |
-
Installez le nouveau certificat KMIP Server-ca :
security certificate install -type server-ca -vserver <> -
Installez le nouveau certificat client KMIP :
security certificate install -type client -vserver <> -
Mettez à jour la configuration du gestionnaire de clés pour utiliser les certificats nouvellement installés :
security key-manager external modify -vserver <> -client-cert <> -server-ca-certs <>Si vous exécutez ONTAP 9.6 ou version ultérieure dans un environnement MetroCluster et que vous souhaitez modifier la configuration du gestionnaire de clés sur le SVM admin, vous devez exécuter la commande sur les deux clusters de la configuration.
|
|
La mise à jour de la configuration du gestionnaire de clés pour utiliser les certificats nouvellement installés renvoie une erreur si les clés publiques/privées du nouveau certificat client sont différentes des clés installées précédemment. Consultez l'article de la base de connaissances "Le nouveau certificat client les clés publiques ou privées sont différentes du certificat client existant" pour obtenir des instructions sur la manière de neutraliser cette erreur. |