Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Gestire le chiavi pubbliche SSH e i certificati X.509 per un account amministratore

Collaboratori
PDF

Per una maggiore sicurezza di autenticazione SSH con gli account amministratore, è possibile utilizzare security login publickey Set di comandi per gestire la chiave pubblica SSH e la sua associazione con i certificati X.509.

Associare una chiave pubblica e un certificato X.509 a un account amministratore

A partire da ONTAP 9.13.1, è possibile associare un certificato X.509 alla chiave pubblica associata all'account amministratore. In questo modo si ottiene la sicurezza aggiuntiva dei controlli di scadenza o revoca del certificato al momento dell'accesso SSH per quell'account.

A proposito di questa attività

Se si autentica un account su SSH con una chiave pubblica SSH e un certificato X.509, ONTAP verifica la validità del certificato X.509 prima di autenticarsi con la chiave pubblica SSH. L'accesso SSH verrà rifiutato se il certificato è scaduto o revocato e la chiave pubblica verrà disattivata automaticamente.

Prima di iniziare

  • Per eseguire questa attività, è necessario essere un amministratore del cluster o di SVM.

  • È necessario aver generato la chiave SSH.

  • Se è necessario controllare solo la scadenza del certificato X.509, è possibile utilizzare un certificato autofirmato.

  • Se è necessario controllare la scadenza e la revoca del certificato X.509:

    • È necessario aver ricevuto il certificato da un'autorità di certificazione (CA).

    • È necessario installare la catena di certificati (certificati CA intermedi e principali) utilizzando security certificate install comandi.

    • Devi attivare OCSP per SSH. Fare riferimento a. "Verificare che i certificati digitali siano validi utilizzando OCSP" per istruzioni.

Fasi

  1. Associare una chiave pubblica e un certificato X.509 a un account amministratore:

    security login publickey create -vserver SVM_name -username user_name -index index -publickey certificate -x509-certificate install

    Per la sintassi completa dei comandi, vedere il riferimento al foglio di lavoro per "Associazione di una chiave pubblica a un account utente".

  2. Verificare la modifica visualizzando la chiave pubblica:

    security login publickey show -vserver SVM_name -username user_name -index index

Esempio

Il seguente comando associa una chiave pubblica e un certificato X.509 all'account amministratore SVM svmadmin2 Per SVM engData2. Alla chiave pubblica viene assegnato il numero di indice 6.

cluster1::> security login publickey create -vserver engData2 -username svmadmin2 -index 6 -publickey
"<key text>" -x509-certificate install
Please enter Certificate: Press <Enter> when done
<certificate text>

Rimuovere l'associazione del certificato dalla chiave pubblica SSH per un account amministratore

È possibile rimuovere l'associazione del certificato corrente dalla chiave pubblica SSH dell'account, mantenendo la chiave pubblica.

Prima di iniziare

Per eseguire questa attività, è necessario essere un amministratore del cluster o di SVM.

Fasi

  1. Rimuovere l'associazione del certificato X.509 da un account amministratore e conservare la chiave pubblica SSH esistente:

    security login publickey modify -vserver SVM_name -username user_name -index index -x509-certificate delete

  2. Verificare la modifica visualizzando la chiave pubblica:

    security login publickey show -vserver SVM_name -username user_name -index index

Esempio

Il comando seguente rimuove l'associazione del certificato X.509 dall'account amministratore SVM svmadmin2 Per SVM engData2 al numero di indice 6.

cluster1::> security login publickey modify -vserver engData2 -username svmadmin2 -index 6 -x509-certificate delete

Rimuovere la chiave pubblica e l'associazione del certificato da un account amministratore

È possibile rimuovere la chiave pubblica corrente e la configurazione del certificato da un account.

Prima di iniziare

Per eseguire questa attività, è necessario essere un amministratore del cluster o di SVM.

Fasi

  1. Rimuovere la chiave pubblica e un'associazione di certificati X.509 da un account amministratore:

    security login publickey delete -vserver SVM_name -username user_name -index index

  2. Verificare la modifica visualizzando la chiave pubblica:

    security login publickey show -vserver SVM_name -username user_name -index index

Esempio

Il comando seguente rimuove una chiave pubblica e un certificato X.509 dall'account amministratore SVM svmadmin3 Per SVM engData3 al numero di indice 7.

cluster1::> security login publickey delete -vserver engData3 -username svmadmin3 -index 7