Créer et installer un certificat CA sur un SVM compatible ONTAP S3
Un certificat d'autorité de certification (CA) est nécessaire pour activer le trafic HTTPS des clients S3 vers le SVM compatible avec S3. L'utilisation de certificats CA crée une relation de confiance entre les applications clientes et le serveur de magasin d'objets ONTAP. Un certificat d'autorité de certification doit être installé sur ONTAP avant de l'utiliser comme magasin d'objets accessible aux clients distants.
Bien qu'il soit possible de configurer un serveur S3 pour utiliser uniquement le protocole HTTP, et bien qu'il soit possible de configurer des clients sans exigence de certificat d'autorité de certification, il est recommandé de sécuriser le trafic HTTPS vers des serveurs ONTAP S3 avec un certificat d'autorité de certification.
Un certificat CA n'est pas nécessaire pour une utilisation de hiérarchisation locale, où le trafic IP transite uniquement par les LIFs de cluster.
Les instructions de cette procédure créent et installent un certificat auto-signé ONTAP. Bien que ONTAP puisse générer des certificats auto-signés, il est recommandé d'utiliser des certificats signés d'une autorité de certification tierce. Pour plus d'informations, reportez-vous à la documentation relative à l'authentification de l'administrateur.
Voir la security certificate
pages de manuel pour les options de configuration supplémentaires.
-
Créer un certificat numérique auto-signé :
security certificate create -vserver svm_name -type root-ca -common-name ca_cert_name
Le
-type root-ca
Option crée et installe un certificat numérique auto-signé pour signer d'autres certificats en agissant comme autorité de certification (CA).Le
-common-name
Option crée le nom de l'autorité de certification du SVM et sera utilisé lors de la génération du nom complet du certificat.La taille du certificat par défaut est de 2048 bits.
Exemple
cluster-1::> security certificate create -vserver svm1.example.com -type root-ca -common-name svm1_ca The certificate's generated name for reference: svm1_ca_159D1587CE21E9D4_svm1_ca
Lorsque le nom généré du certificat est affiché, veillez à l'enregistrer pour les étapes ultérieures de cette procédure.
-
Générer une demande de signature de certificat :
security certificate generate-csr -common-name s3_server_name [additional_options]
Le
-common-name
Le paramètre de la demande de signature doit être le nom de serveur S3 (FQDN).Vous pouvez fournir l'emplacement et d'autres informations détaillées sur la SVM si nécessaire.
Vous êtes invité à conserver une copie de votre demande de certificat et de votre clé privée pour référence ultérieure.
-
Signer la RSC à l'aide de SVM_CA pour générer le certificat du serveur S3 :
security certificate sign -vserver svm_name -ca ca_cert_name -ca-serial ca_cert_serial_number [additional_options]
Entrez les options de commande que vous avez utilisées aux étapes précédentes :
-
-ca
— le nom commun de l'autorité de certification que vous avez saisi à l'étape 1. -
-ca-serial
— le numéro de série CA de l'étape 1. Par exemple, si le nom du certificat de l'autorité de certification est svm1_CA_159D1587CE21E9D4_svm1_ca, le numéro de série est 159D1587CE2E9D4.Par défaut, le certificat signé expirera dans 365 jours. Vous pouvez sélectionner une autre valeur et spécifier d'autres détails de signature.
Lorsque vous y êtes invité, copiez et entrez la chaîne de demande de certificat que vous avez enregistrée à l'étape 2.
Un certificat signé s'affiche ; enregistrez-le pour une utilisation ultérieure.
-
-
Installez le certificat signé sur le SVM compatible S3 :
security certificate install -type server -vserver svm_name
Lorsque vous y êtes invité, entrez le certificat et la clé privée.
Vous avez la possibilité de saisir des certificats intermédiaires si une chaîne de certificats est souhaitée.
Lorsque la clé privée et le certificat numérique signé par l'autorité de certification sont affichés, enregistrez-les pour référence ultérieure.
-
Obtenir le certificat de clé publique :
security certificate show -vserver svm_name -common-name ca_cert_name -type root-ca -instance
Enregistrez le certificat de clé publique pour une configuration client ultérieure.
Exemple
cluster-1::> security certificate show -vserver svm1.example.com -common-name svm1_ca -type root-ca -instance Name of Vserver: svm1.example.com FQDN or Custom Common Name: svm1_ca Serial Number of Certificate: 159D1587CE21E9D4 Certificate Authority: svm1_ca Type of Certificate: root-ca (DEPRECATED)-Certificate Subtype: - Unique Certificate Name: svm1_ca_159D1587CE21E9D4_svm1_ca Size of Requested Certificate in Bits: 2048 Certificate Start Date: Thu May 09 10:58:39 2020 Certificate Expiration Date: Fri May 08 10:58:39 2021 Public Key Certificate: -----BEGIN CERTIFICATE----- MIIDZ ...== -----END CERTIFICATE----- Country Name: US State or Province Name: Locality Name: Organization Name: Organization Unit: Contact Administrator's Email Address: Protocol: SSL Hashing Function: SHA256 Self-Signed Certificate: true Is System Internal Certificate: false