Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

管理者アカウントのSSH公開鍵とX.509証明書を管理します。

共同作成者
PDF

管理者アカウントによるSSH認証のセキュリティを強化するために、一連のコマンドを使用して、SSH公開鍵とそのX.509証明書との関連付けを管理でき `security login publickey`ます。

公開鍵とX.509証明書を管理者アカウントに関連付ける

ONTAP 9 .13.1以降では、管理者アカウントに関連付けた公開鍵にX.509証明書を関連付けることができます。これにより、そのアカウントのSSHログイン時の証明書の有効期限または失効チェックのセキュリティが強化されます。

タスクの内容

SSH公開鍵とX.509証明書の両方を使用してSSH経由でアカウントを認証する場合、ONTAPは、SSH公開鍵を使用して認証する前にX.509証明書の有効性をチェックします。証明書の有効期限が切れているか失効している場合、SSHログインは拒否され、公開鍵は自動的に無効になります。

開始する前に

  • このタスクを実行するには、クラスタ管理者またはSVM管理者である必要があります。

  • SSHキーを生成しておく必要があります。

  • X.509証明書の有効期限のみを確認する必要がある場合は、自己署名証明書を使用できます。

  • X.509証明書の有効期限と失効を確認する必要がある場合は、次の手順を実行します。

    • 認証局(CA)から証明書を受け取っておく必要があります。

    • 証明書チェーン(中間およびルートのCA証明書)は、コマンドを使用してインストールする必要があります security certificate install

    • SSHに対してOCSPを有効にする必要があります。手順については、を参照してください "OCSPを使用してデジタル証明書が有効であることを確認する"

手順

  1. 公開鍵とX.509証明書を管理者アカウントに関連付けます。

    security login publickey create -vserver SVM_name -username user_name -index index -publickey certificate -x509-certificate install

    コマンド構文全体については、のワークシートリファレンスを参照してください"ユーザアカウントへの公開鍵の関連付け"

  2. 公開鍵を表示して変更を確認します。

    security login publickey show -vserver SVM_name -username user_name -index index

次のコマンドは、公開鍵とX.509証明書をSVMの `engData2`SVM管理者アカウントに関連付け `svmadmin2`ます。公開鍵にはインデックス番号6が割り当てられます。

cluster1::> security login publickey create -vserver engData2 -username svmadmin2 -index 6 -publickey
"<key text>" -x509-certificate install
Please enter Certificate: Press <Enter> when done
<certificate text>

管理者アカウントのSSH公開鍵から証明書の関連付けを削除する

公開鍵を保持したまま、アカウントのSSH公開鍵から現在の証明書の関連付けを削除できます。

開始する前に

このタスクを実行するには、クラスタ管理者またはSVM管理者である必要があります。

手順

  1. 管理者アカウントからX.509証明書の関連付けを削除し、既存のSSH公開鍵を保持します。

    security login publickey modify -vserver SVM_name -username user_name -index index -x509-certificate delete

  2. 公開鍵を表示して変更を確認します。

    security login publickey show -vserver SVM_name -username user_name -index index

次のコマンドは、インデックス番号6のSVMのSVM engData2`管理者アカウントからX.509証明書の関連付けを削除します `svmadmin2

cluster1::> security login publickey modify -vserver engData2 -username svmadmin2 -index 6 -x509-certificate delete

管理者アカウントから公開鍵と証明書の関連付けを削除する

アカウントから現在の公開鍵と証明書の設定を削除できます。

開始する前に

このタスクを実行するには、クラスタ管理者またはSVM管理者である必要があります。

手順

  1. 管理者アカウントから公開鍵とX.509証明書の関連付けを削除します。

    security login publickey delete -vserver SVM_name -username user_name -index index

  2. 公開鍵を表示して変更を確認します。

    security login publickey show -vserver SVM_name -username user_name -index index

次のコマンドは、インデックス番号7のSVMの engData3`SVM管理者アカウントから公開鍵とX.509証明書を削除します `svmadmin3

cluster1::> security login publickey delete -vserver engData3 -username svmadmin3 -index 7