ONTAPでCA署名付きサーバ証明書を生成してインストールする
変更を提案
PDF
本番環境システムでは、クラスタまたはSVMをSSLサーバとして認証するために、CA署名のデジタル証明書をインストールすることを推奨します。 `security certificate generate-csr`コマンドを使用して証明書署名要求(CSR)を生成し、 `security certificate install`コマンドを使用して認証局から返された証明書をインストールできます。 `security certificate generate-csr`および `security certificate install`の詳細については、"ONTAPコマンド リファレンス"をご覧ください。
証明書署名要求の生成
`security certificate generate-csr`コマンドを使用して証明書署名要求(CSR)を生成できます。要求が処理されると、認証局(CA)が署名されたデジタル証明書を送信します。
このタスクを実行するには、クラスタ管理者またはSVMの管理者である必要があります。
-
CSRを生成します。
security certificate generate-csr -common-name FQDN_or_common_name -size 512|1024|1536|2048 -country country -state state -locality locality -organization organization -unit unit -email-addr email_of_contact -hash-function SHA1|SHA256|MD5次のコマンドは、米国カリフォルニア州サニーベールに所在する、カスタム共通名が `server1.companyname.com`である企業の `IT`部門の `Software`グループが使用する、 `SHA256`ハッシュ関数によって生成された2048ビットの秘密鍵を含むCSRを作成します。SVM連絡先管理者のメールアドレスは `web@example.com`です。システムはCSRと秘密鍵を出力に表示します。
CSRを作成する例
cluster1::>security certificate generate-csr -common-name server1.companyname.com -size 2048 -country US -state California -locality Sunnyvale -organization IT -unit Software -email-addr web@example.com -hash-function SHA256 Certificate Signing Request : -----BEGIN CERTIFICATE REQUEST----- <certificate_value> -----END CERTIFICATE REQUEST----- Private Key : -----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY----- NOTE: Keep a copy of your certificate request and private key for future reference.
-
CSR出力の証明書要求をデジタル形式(Eメールなど)で信頼できるサードパーティのCAに送信し、署名を求めます。
要求が処理されると、署名済みのデジタル証明書がCAから送信されます。秘密鍵とCA署名デジタル証明書のコピーを保管する必要があります。
CA署名済みサーバ証明書のインストール
`security certificate install`コマンドを使用して、SVMにCA署名付きサーバ証明書をインストールできます。ONTAPは、サーバ証明書の証明書チェーンを構成する認証局(CA)のルート証明書と中間証明書の入力を求めます。link:https://docs.netapp.com/us-en/ontap-cli/security-certificate-install.html["ONTAPコマンド リファレンス"^]の `security certificate install`の詳細をご覧ください。
このタスクを実行するには、クラスタ管理者またはSVMの管理者である必要があります。
-
CA署名済みサーバ証明書をインストールします。
security certificate install -vserver SVM_name -type certificate_type
サーバ証明書の証明書チェーンを形成する、CAのルート証明書と中間証明書の入力を求めるプロンプトが表示されます。チェーンは、サーバ証明書を発行したCAの証明書から始まり、CAのルート証明書まで続きます。中間証明書が1つでも抜けていると、サーバ証明書のインストールに失敗します。
次のコマンドは、CA署名付きサーバー証明書と中間証明書をSVM `engData2`にインストールします。
CA署名済みサーバ証明書と中間証明書をインストールする例
cluster1::>security certificate install -vserver engData2 -type server Please enter Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- Please enter Private Key: Press <Enter> when done -----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY----- Do you want to continue entering root and/or intermediate certificates {y|n}: y Please enter Intermediate Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- Do you want to continue entering root and/or intermediate certificates {y|n}: y Please enter Intermediate Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- Do you want to continue entering root and/or intermediate certificates {y|n}: n You should keep a copy of the private key and the CA-signed digital certificate for future reference.