Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Creare e installare un certificato CA in una SVM abilitata per ONTAP S3

Collaboratori
PDF

Per abilitare il traffico HTTPS dai client S3 alla SVM abilitata per S3, è necessario un certificato CA (Certificate Authority). L'utilizzo dei certificati CA crea una relazione attendibile tra le applicazioni client e il server di archiviazione oggetti ONTAP. Un certificato CA deve essere installato su ONTAP prima di utilizzarlo come archivio oggetti accessibile ai client remoti.

A proposito di questa attività

Sebbene sia possibile configurare un server S3 in modo che utilizzi solo HTTP e sebbene sia possibile configurare i client senza un requisito di certificato CA, è consigliabile proteggere il traffico HTTPS ai server ONTAP S3 con un certificato CA.

Un certificato CA non è necessario per un caso di utilizzo del tiering locale, in cui il traffico IP passa solo attraverso le LIF del cluster.

Le istruzioni di questa procedura consentono di creare e installare un certificato autofirmato ONTAP. Sebbene ONTAP sia in grado di generare certificati autofirmati, si consiglia di utilizzare certificati firmati da un'autorità di certificazione di terze parti. Per ulteriori informazioni, consultare la documentazione di autenticazione dell'amministratore.

"Autenticazione amministratore e RBAC"

Vedere security certificate pagine man per ulteriori opzioni di configurazione.

Fasi

  1. Creare un certificato digitale autofirmato:

    security certificate create -vserver svm_name -type root-ca -common-name ca_cert_name

    Il -type root-ca L'opzione crea e installa un certificato digitale autofirmato per firmare altri certificati agendo come autorità di certificazione (CA).

    Il -common-name L'opzione crea il nome dell'autorità di certificazione (CA) di SVM e verrà utilizzata per generare il nome completo del certificato.

    La dimensione predefinita del certificato è 2048 bit.

    Esempio

    cluster-1::> security certificate create -vserver svm1.example.com -type root-ca -common-name svm1_ca

The certificate's generated name for reference: svm1_ca_159D1587CE21E9D4_svm1_ca

    Quando viene visualizzato il nome generato del certificato, assicurarsi di salvarlo per i passaggi successivi di questa procedura.

  2. Generare una richiesta di firma del certificato:

    security certificate generate-csr -common-name s3_server_name [additional_options]

    Il -common-name Il parametro per la richiesta di firma deve essere il nome del server S3 (FQDN).

    Se lo si desidera, è possibile fornire la posizione e altre informazioni dettagliate sulla SVM.

    Viene richiesto di conservare una copia della richiesta di certificato e della chiave privata per riferimenti futuri.

  3. Firmare la CSR utilizzando SVM_CA per generare il certificato del server S3:

    security certificate sign -vserver svm_name -ca ca_cert_name -ca-serial ca_cert_serial_number [additional_options]

    Immettere le opzioni di comando utilizzate nei passaggi precedenti:

    • -ca — il nome comune della CA immesso nel passaggio 1.

    • -ca-serial — il numero di serie della CA dal punto 1. Ad esempio, se il nome del certificato CA è svm1_ca_159D1587CE21E9D4_svm1_ca, il numero di serie è 159D1587CE21E9D4.

      Per impostazione predefinita, il certificato firmato scadrà tra 365 giorni. È possibile selezionare un altro valore e specificare altri dettagli della firma.

      Quando richiesto, copiare e inserire la stringa di richiesta del certificato salvata nel passaggio 2.

    Viene visualizzato un certificato firmato; salvarlo per un utilizzo successivo.

  4. Installare il certificato firmato sulla SVM abilitata per S3:

    security certificate install -type server -vserver svm_name

    Quando richiesto, inserire il certificato e la chiave privata.

    Se si desidera inserire una catena di certificati, è possibile immettere i certificati intermedi.

    Quando vengono visualizzate la chiave privata e il certificato digitale firmato dalla CA, salvarle per riferimenti futuri.

  5. Ottenere il certificato della chiave pubblica:

    security certificate show -vserver svm_name -common-name ca_cert_name -type root-ca -instance

    Salvare il certificato della chiave pubblica per una configurazione successiva lato client.

    Esempio

    cluster-1::> security certificate show -vserver svm1.example.com -common-name svm1_ca -type root-ca  -instance

                      Name of Vserver: svm1.example.com
           FQDN or Custom Common Name: svm1_ca
         Serial Number of Certificate: 159D1587CE21E9D4
                Certificate Authority: svm1_ca
                  Type of Certificate: root-ca
     (DEPRECATED)-Certificate Subtype: -
              Unique Certificate Name: svm1_ca_159D1587CE21E9D4_svm1_ca
Size of Requested Certificate in Bits: 2048
               Certificate Start Date: Thu May 09 10:58:39 2020
          Certificate Expiration Date: Fri May 08 10:58:39 2021
               Public Key Certificate: -----BEGIN CERTIFICATE-----
MIIDZ ...==
-----END CERTIFICATE-----
                         Country Name: US
               State or Province Name:
                        Locality Name:
                    Organization Name:
                    Organization Unit:
Contact Administrator's Email Address:
                             Protocol: SSL
                     Hashing Function: SHA256
              Self-Signed Certificate: true
       Is System Internal Certificate: false