日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。
ONTAPクラスタ上のKMIP SSL証明書を置き換える
共同作成者
変更を提案
PDF
すべてのSSL証明書には有効期限があります。認証キーへのアクセスが失われないように、証明書の有効期限が切れる前に証明書を更新する必要があります。
開始する前に
-
クラスタに対して新しいパブリック証明書(KMIPクライアント証明書)と秘密鍵を入手しておく必要があります。
-
KMIPサーバに対して新しいパブリック証明書(KMIPサーバCA証明書)を入手しておく必要があります。
-
このタスクを実行するには、クラスタ管理者またはSVMの管理者である必要があります。
-
MetroCluster環境でKMIP SSL証明書を交換する場合は、同じ交換用KMIP SSL証明書を両方のクラスタにインストールする必要があります。
|
KMIPサーバへの交換用のクライアント証明書とサーバ証明書のインストールは、クラスタに証明書をインストールする前でもインストールしたあとでもかまいません。 |
手順
-
新しいKMIPサーバCA証明書をインストールします。
security certificate install -type server-ca -vserver <> -
新しいKMIPクライアント証明書をインストールします。
security certificate install -type client -vserver <> -
新しくインストールした証明書を使用するようにキー管理ツールの設定を更新します。
security key-manager external modify -vserver <> -client-cert <> -server-ca-certs <>MetroCluster環境でONTAP 9.6以降を実行している場合に管理SVMのキー管理ツールの設定を変更するには、構成内の両方のクラスタでコマンドを実行する必要があります。
|
|
新しくインストールされた証明書を使用するようにキーマネージャーの設定を更新すると、新しいクライアント証明書の公開鍵/秘密鍵が以前にインストールされた鍵と異なる場合、エラーが返されます。このエラーを回避する方法については、"NetAppナレッジベース:新しいクライアント証明書の公開鍵または秘密鍵が既存のクライアント証明書と異なります"をご覧ください。 |