Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

CA署名済みサーバ証明書の生成とインストールの概要

共同作成者

本番用システムでは、クラスタまたは SVM を SSL サーバとして認証する際に使用する CA 署名デジタル証明書をインストールすることを推奨します。コマンドを使用してCertificate Signing Request(CSR;証明書署名要求)を生成し、 security certificate install`コマンドを使用して認証局から返された証明書をインストールできます `security certificate generate-csr

証明書署名要求を生成する

証明書署名要求(CSR)は、コマンドを使用して生成できます security certificate generate-csr。要求が処理されると、署名済みのデジタル証明書が認証局(CA)から送信されます。

開始する前に

このタスクを実行するには、クラスタ管理者またはSVM管理者である必要があります。

手順
  1. CSRを生成します。

    security certificate generate-csr -common-name FQDN_or_common_name -size 512|1024|1536|2048 -country country -state state -locality locality -organization organization -unit unit -email-addr email_of_contact -hash-function SHA1|SHA256|MD5
    Cli

    次のコマンドは、ハッシュ関数で生成される2、048ビット秘密鍵を使用してCSRを作成します。この証明書 SHA256`は、米国カリフォルニア州のサニーベールにあるというカスタム共通名の企業の部門 `server1.companyname.com`内のグループ `IT`が使用します。 `Software`SVM担当者の管理者のEメールアドレスはです `web@example.com。出力にCSRと秘密鍵が表示されます。

    CSRの作成例
    cluster1::>security certificate generate-csr -common-name server1.companyname.com -size 2048 -country US -state California -locality Sunnyvale -organization IT -unit Software -email-addr web@example.com -hash-function SHA256
    
    Certificate Signing Request :
    -----BEGIN CERTIFICATE REQUEST-----
    <certificate_value>
    -----END CERTIFICATE REQUEST-----
    
    
    Private Key :
    -----BEGIN RSA PRIVATE KEY-----
    <key_value>
    -----END RSA PRIVATE KEY-----
    
    NOTE: Keep a copy of your certificate request and private key for future reference.
  2. CSR出力の証明書要求を電子形式(Eメールなど)で信頼できるサードパーティのCAに送信し、署名を求めます。

    要求が処理されると、署名済みのデジタル証明書がCAから送信されます。秘密鍵とCA署名デジタル証明書のコピーを保管しておく必要があります。

CA署名済みサーバ証明書のインストール

CA署名済みサーバ証明書は、コマンドを使用してSVMにインストールできます security certificate install。ONTAPでは、サーバ証明書の証明書チェーンを形成する認証局(CA)のルート証明書と中間証明書の入力を求められます。

開始する前に

このタスクを実行するには、クラスタ管理者またはSVM管理者である必要があります。

ステップ
  1. CA署名済みサーバ証明書をインストールします。

    security certificate install -vserver SVM_name -type certificate_type
    Cli

    コマンド構文全体については、を参照してください "ワークシート"

    メモ

    ONTAPは、サーバ証明書の証明書チェーンを形成するCAルート証明書と中間証明書の入力を求めます。チェーンは、サーバ証明書を発行したCAの証明書から始まり、CAのルート証明書までの範囲があります。中間証明書が不足していると、サーバ証明書のインストールが失敗します。

    次のコマンドは、CA署名済みサーバ証明書と中間証明書をSVMにインストールし `engData2`ます。

    CA署名済みサーバ証明書中間証明書のインストール例
    cluster1::>security certificate install -vserver engData2 -type server
    Please enter Certificate: Press <Enter> when done
    -----BEGIN CERTIFICATE-----
    <certificate_value>
    -----END CERTIFICATE-----
    
    
    Please enter Private Key: Press <Enter> when done
    -----BEGIN RSA PRIVATE KEY-----
    <key_value>
    -----END RSA PRIVATE KEY-----
    
    Do you want to continue entering root and/or intermediate certificates {y|n}: y
    
    Please enter Intermediate Certificate: Press <Enter> when done
    -----BEGIN CERTIFICATE-----
    <certificate_value>
    -----END CERTIFICATE-----
    
    
    Do you want to continue entering root and/or intermediate certificates {y|n}: y
    
    Please enter Intermediate Certificate: Press <Enter> when done
    -----BEGIN CERTIFICATE-----
    <certificate_value>
    -----END CERTIFICATE-----
    
    
    Do you want to continue entering root and/or intermediate certificates {y|n}: n
    
    You should keep a copy of the private key and the CA-signed digital certificate for future reference.