Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPメディエーターの管理

共同作成者 netapp-sarajane netapp-aoife netapp-thomi netapp-dbagwell netapp-ranuk netapp-aaron-holt netapp-aherbin netapp-mwallis netapp-ahibbard thrisun

ユーザー認証情報の変更、サービスの停止と再有効化、サービスの健全性の検証、ホストのメンテナンスのための SCST のインストールまたはアンインストールなど、ONTAP Mediator を管理します。また、自己署名証明書の再生成、信頼されたサードパーティ証明書への置き換え、証明書関連の問題のトラブルシューティングなど、証明書の管理も行うことができます。

ユーザ名の変更

ユーザ名は次の手順を使用して変更できます。

タスクの内容

ONTAP Mediator をインストールした Linux ホストでこのタスクを実行します。

このコマンドを実行できない場合は、次の例のように完全パスを使用してコマンドを実行する必要があります。

/usr/local/bin/mediator_username

手順

次のいずれかを実行してユーザ名を変更します。

  • オプション(a):コマンドを実行し mediator_change_user、次の例に示すようにプロンプトに応答します。

     [root@mediator-host ~]# mediator_change_user
     Modify the Mediator API username by entering the following values:
         Mediator API User Name: mediatoradmin
                       Password:
     New Mediator API User Name: mediator
     The account username has been modified successfully.
     [root@mediator-host ~]#
  • オプション(b):次のコマンドを実行します。

    MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD=mediator2 MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user

     [root@mediator-host ~]# MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD='mediator2' MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user
     The account username has been modified successfully.
     [root@mediator-host ~]#

パスワードの変更

パスワードは次の手順を使用して変更できます。

タスクの内容

ONTAP Mediator をインストールした Linux ホストでこのタスクを実行します。

このコマンドを実行できない場合は、次の例のように完全パスを使用してコマンドを実行する必要があります。

/usr/local/bin/mediator_change_password

手順

次のいずれかを実行してパスワードを変更します。

  • オプション(a):コマンドを実行し mediator_change_password、次の例に示すようにプロンプトに応答します。

     [root@mediator-host ~]# mediator_change_password
     Change the Mediator API password by entering the following values:
        Mediator API User Name: mediatoradmin
                  Old Password:
                  New Password:
              Confirm Password:
     The password has been updated successfully.
     [root@mediator-host ~]#
  • オプション(b):次のコマンドを実行します。

    MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password

    この例では、パスワードが「mediator1」から「mediator2」に変更されています。

     [root@mediator-host ~]# MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password
     The password has been updated successfully.
     [root@mediator-host ~]#

ONTAPメディエーターを停止する

ONTAP Mediator を停止するには、次の手順を実行します。

手順
  1. ONTAP メディエーターを停止します。

    systemctl stop ontap_mediator

  2. SCSTを停止します。

    systemctl stop mediator-scst

  3. ONTAP メディエーターと SCST を無効にします。

    systemctl diable ontap_mediator mediator-scst

ONTAPメディエーターを再度有効にする

ONTAP Mediator を再度有効にするには、次の手順を実行します。

手順
  1. ONTAP Mediator と SCST を有効にします。

    systemctl enable ontap_mediator mediator-scst

  2. SCSTを開始します。

    systemctl start mediator-scst

  3. ONTAPメディエーターを起動します。

    systemctl start ontap_mediator

ONTAPメディエーターが正常であることを確認する

ONTAP Mediator をインストールした後、正常に実行されていることを確認します。

手順
  1. ONTAP Mediator のステータスを表示します。

    1. systemctl status ontap_mediator

      [root@scspr1915530002 ~]# systemctl status ontap_mediator
      
       ontap_mediator.service - ONTAP Mediator
      Loaded: loaded (/etc/systemd/system/ontap_mediator.service; enabled; vendor preset: disabled)
      Active: active (running) since Mon 2022-04-18 10:41:49 EDT; 1 weeks 0 days ago
      Process: 286710 ExecStop=/bin/kill -s INT $MAINPID (code=exited, status=0/SUCCESS)
      Main PID: 286712 (uwsgi)
      Status: "uWSGI is ready"
      Tasks: 3 (limit: 49473)
      Memory: 139.2M
      CGroup: /system.slice/ontap_mediator.service
            ├─286712 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
            ├─286716 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
            └─286717 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
      
      [root@scspr1915530002 ~]#
    2. systemctl status mediator-scst

      [root@scspr1915530002 ~]# systemctl status mediator-scst
         Loaded: loaded (/etc/systemd/system/mediator-scst.service; enabled; vendor preset: disabled)
         Active: active (running) since Mon 2022-04-18 10:41:47 EDT; 1 weeks 0 days ago
        Process: 286595 ExecStart=/etc/init.d/scst start (code=exited, status=0/SUCCESS)
       Main PID: 286662 (iscsi-scstd)
          Tasks: 1 (limit: 49473)
         Memory: 1.2M
         CGroup: /system.slice/mediator-scst.service
                 └─286662 /usr/local/sbin/iscsi-scstd
      
      [root@scspr1915530002 ~]#
  2. ONTAP Mediator で使用されるポートを確認します。

    netstat

    [root@scspr1905507001 ~]# netstat -anlt | grep -E '3260|31784'
    
             tcp   0   0 0.0.0.0:31784   0.0.0.0:*      LISTEN
    
             tcp   0   0 0.0.0.0:3260    0.0.0.0:*      LISTEN
    
             tcp6  0   0 :::3260         :::*           LISTEN

ホストのメンテナンスを実行する

ONTAP Mediator を実行している VM を新しいカーネルにアップグレードする必要がある場合、 ONTAP Mediator で使用される SCST カーネル モジュールとの互換性の問題が発生する可能性があります。このシナリオでは、 NetApp はSCST を手動でアンインストールして再インストールすることを推奨します。

ステップ1: SCSTを手動でアンインストールする

SCSTをアンインストールするには、インストールされているONTAPメディエーターのバージョンに使用するSCST tarバンドルが必要です。

手順
  1. 適切な SCST バンドル (次の表を参照) をダウンロードして解凍します。

    バージョン

    使用するtarバンドル

    ONTAP Mediator 1.10

    scst-3.9.tar.gz

    ONTAPメディエーター1.9.1

    scst-3.8.0.tar.bz2

    ONTAPメディエーター1.9

    scst-3.8.0.tar.bz2

    ONTAPメディエーター1.8

    scst-3.8.0.tar.bz2

    ONTAPメディエーター1.7

    scst-3.7.0.tar.bz2

    ONTAPメディエーター1.6

    scst-3.7.0.tar.bz2

    ONTAPメディエーター1.5

    scst-3.6.0.tar.bz2

    ONTAPメディエーター1.4

    scst-3.6.0.tar.bz2

    ONTAPメディエーター1.3

    scst-3.5.0.tar.bz2

    ONTAPメディエーター1.1

    scst-3.4.0.tar.bz2

    ONTAPメディエーター1.0

    scst-3.3.0.tar.bz2

    1. オープンソースパッケージにアクセスするには、"SCST SourceForge ダウンロード"

    2. *リリースバージョンのダウンロード*を選択します。

    3. バンドルを VM に抽出します。

  2. 以下のアンインストールコマンドを実行します。 `scst`ディレクトリ:

    1. systemctl stop mediator-scst

    2. make scstadm_uninstall

    3. make iscsi_uninstall

    4. make usr_uninstall

    5. make scst_uninstall

    6. depmod

ステップ2: SCSTを手動でインストールする

SCSTを手動でインストールするには、インストールされているバージョンのONTAPメディエーターで使用されるSCST tarバンドルが必要です(SCSTテーブルARPテーブル )。

メモ ONTAP Mediator をインストールする前にこの手順を実行します。使用している SCST バージョンがONTAP Mediator インストーラにバンドルされているバージョンよりも新しい場合、インストーラはこの手順をスキップします。
  1. 以下のインストールコマンドを実行します。 `scst`ディレクトリ:

    1. make 2release

    2. make scst_install

    3. make usr_install

    4. make iscsi_install

    5. make scstadm_install

    6. depmod

      メモ

      初めてインストールを実行し、 ONTAP Mediator を事前にインストールする場合は、次の手順に進む前に次のコマンドを実行します。

      mkdir -p /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys

    7. cp scst/src/certs/scst_module_key.der /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/

    8. patch /etc/init.d/scst < /opt/netapp/lib/ontap_mediator/systemd/scst.patch

      メモ 初めてインストールを実行し、 ONTAP Mediator をインストールする前に SCST を事前にインストールする場合は、この手順をスキップできます。 ONTAP Mediator インストーラは、インストール中に SCST コンポーネントに関連するパッチを適用します。
  2. セキュアブートが有効になっている場合は、リブートする前に、次の手順を実行します。

    1. 各ファイル名を決定する scst_vdiskscst 、 そして `iscsi_scst`モジュール:

      [root@localhost ~]# modinfo -n scst_vdisk
      [root@localhost ~]# modinfo -n scst
      [root@localhost ~]# modinfo -n iscsi_scst
    2. カーネルのリリースを確認します。

      [root@localhost ~]# uname -r
    3. 各モジュール ファイルをカーネルで署名します。

      [root@localhost ~]# /usr/src/kernels/<KERNEL-RELEASE>/scripts/sign-file \sha256 \
      /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.priv \
      /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der \
      _module-filename_
    4. ファームウェアとともに UEFI キーをインストールします。

      UEFIキーのインストール手順は、次の場所にあります。

      /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/README.module-signing

      生成されたUEFIキーは次の場所にあります。

    /opt/netapp/lib/ontap_mediator/ontap_mediator/SCST_mod_keys/scst_module_key.der

  3. システムを再起動します。

    reboot

ONTAPメディエーターのアンインストール

必要に応じて、ONTAP Mediator を削除できます。

開始する前に

ONTAP Mediator を削除する前に、ONTAP から切断する必要があります。

タスクの内容

ONTAP Mediator をインストールした Linux ホストでこのタスクを実行します。

このコマンドを実行できない場合は、次の例のように完全パスを使用してコマンドを実行する必要があります。

/usr/local/bin/uninstall_ontap_mediator

ステップ
  1. ONTAP Mediator をアンインストールします。

    uninstall_ontap_mediator

     [root@mediator-host ~]# uninstall_ontap_mediator
    
     ONTAP Mediator: Self Extracting Uninstaller
    
     + Removing ONTAP Mediator. (Log: /tmp/ontap_mediator.GmRGdA/uninstall_ontap_mediator/remove.log)
     + Remove successful.
     [root@mediator-host ~]#

一時的な自己署名証明書の再生成

ONTAPメディエーター1.7以降では、次の手順を使用して一時的な自己署名証明書を再生成できます。

メモ この手順は、ONTAPメディエーター1.7以降を実行しているシステムでのみサポートされます。
タスクの内容
  • ONTAP Mediator をインストールした Linux ホストでこのタスクを実行します。

  • このタスクは、ONTAP Mediator のインストール後にホストのホスト名または IP アドレスが変更されたために、生成された自己署名証明書が古くなった場合にのみ実行できます。

  • 一時的な自己署名証明書を信頼できるサードパーティ証明書に置き換えたあと、このタスクを使用して証明書を再生成します。自己署名証明書がないと、この手順は失敗します。

ステップ

現在のホストの新しい一時的な自己署名証明書を再生成するには、次の手順を実行します。

  1. ONTAP メディエーターを再起動します。

    ./make_self_signed_certs.sh overwrite

    [root@xyz000123456 ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
    [root@xyz000123456 server_config]# ./make_self_signed_certs.sh overwrite
    
    Adding Subject Alternative Names to the self-signed server certificate
    #
    # OpenSSL example configuration file.
    Generating self-signed certificates
    Generating RSA private key, 4096 bit long modulus (2 primes)
    ..................................................................................................................................................................++++
    ........................................................++++
    e is 65537 (0x010001)
    Generating a RSA private key
    ................................................++++
    .............................................................................................................................................++++
    writing new private key to 'ontap_mediator_server.key'
    -----
    Signature ok
    subject=C = US, ST = California, L = San Jose, O = "NetApp, Inc.", OU = ONTAP Core Software, CN = ONTAP Mediator, emailAddress = support@netapp.com
    Getting CA Private Key

自己署名証明書を信頼できるサードパーティ証明書に置き換える

自己署名証明書がサポートされている場合は、信頼できるサードパーティの証明書に置き換えることができます。

注意
  • サードパーティ証明書は、ONTAP 9 .16.1以降および一部の以前のONTAPパッチリリースでのみサポートされています。を参照して "NetApp Bugs OnlineのバグIDCONTAP-243278"

  • サードパーティの証明書は、ONTAP Mediator 1.7以降を実行するシステムでのみサポートされます。

タスクの内容
  • ONTAP Mediator をインストールした Linux ホストでこのタスクを実行します。

  • このタスクは、生成された自己署名証明書を、信頼された下位の認証局(CA)から取得した証明書に置き換える必要がある場合に実行できます。これを実現するには、信頼できる公開キーインフラストラクチャ(PKI)権限にアクセスする必要があります。

  • 次の図は、各ONTAPメディエーター証明書の目的を示しています。

    ONTAPメディエーター証明書の目的

  • 次の図は、Web サーバのセットアップと ONTAP Mediator のセットアップの構成を示しています。

    WebサーバのセットアップとONTAPメディエーターのセットアップ構成

手順1:CA証明書を発行しているサードパーティから証明書を取得する

次の手順を使用して、PKI認証局から証明書を取得できます。

次の例は、にあるサードパーティの証明書アクターで自己署名証明書アクターを置き換える方法を示してい `/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/`ます。

メモ

この例では、ONTAP Mediator に必要な証明書の必要な基準を示します。この手順とは異なる方法で、PKI認証局から証明書を取得できます。ビジネスニーズに応じて手順を調整します。

ONTAP Mediator 1.9以降
  1. PKI機関が証明書を生成するために使用する秘密鍵とコンフィギュレーションファイルを openssl_ca.cnf`作成します `intermediate.key

    1. 秘密鍵を生成し `intermediate.key`ます。

      • 例 *

    openssl genrsa -aes256 -out intermediate.key 4096

    1. 構成ファイル openssl_ca.cnf(にあります /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf)は、生成された証明書に必要なプロパティを定義します。

  2. 秘密鍵と構成ファイルを使用して、証明書署名要求を作成し `intermediate.csr`ます。

    • 例: *

      openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf

    [root@scs000216655 server_config]# openssl req -key intermediate.key -new -config openssl_ca.cnf -out intermediate.csr
    Enter pass phrase for intermediate.key:
    [root@scs000216655 server_config]# cat intermediate.csr
    -----BEGIN CERTIFICATE REQUEST-----
    <certificate_value>
    -----END CERTIFICATE REQUEST-----
  3. 証明書署名要求をPKI機関に送信し `intermediate.csr`て署名を求めます。

    PKI認証局は要求を検証し、に署名して .csr`証明書を生成し `intermediate.crt`ます。さらに、PKI認証局から証明書に署名した証明書を取得する必要があり `root_intermediate.crt intermediate.crt ます。

    メモ SnapMirrorビジネス継続性(SM-BC)クラスタの場合は、証明書と証明書をONTAPクラスタに追加する必要があります intermediate.crt root_intermediate.crt 。を参照して "SnapMirror Active Sync 用に ONTAP Mediator とクラスタを構成する"
ONTAPメディエーター1.8以前
  1. PKI機関が証明書を生成するために使用する秘密鍵とコンフィギュレーションファイルを openssl_ca.cnf`作成します `ca.key

    1. 秘密鍵を生成し `ca.key`ます。

      • 例 *

    openssl genrsa -aes256 -out ca.key 4096

    1. 構成ファイル openssl_ca.cnf(にあります /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf)は、生成された証明書に必要なプロパティを定義します。

  2. 秘密鍵と構成ファイルを使用して、証明書署名要求を作成し `ca.csr`ます。

    • 例: *

      openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf

    [root@scs000216655 server_config]# openssl req -key ca.key -new -config openssl_ca.cnf -out ca.csr
    Enter pass phrase for ca.key:
    [root@scs000216655 server_config]# cat ca.csr
    -----BEGIN CERTIFICATE REQUEST-----
    <certificate_value>
    -----END CERTIFICATE REQUEST-----
  3. 証明書署名要求をPKI機関に送信し `ca.csr`て署名を求めます。

    PKI認証局は要求を検証し、に署名して `.csr`証明書を生成し `ca.crt`ます。さらに、PKI認証局から証明書を取得する必要があり `root_ca.crt that signed the `ca.crt`ます。

    メモ SnapMirrorビジネス継続性(SM-BC)クラスタの場合は、証明書と証明書をONTAPクラスタに追加する必要があります ca.crt root_ca.crt 。を参照して "SnapMirror Active Sync 用に ONTAP Mediator とクラスタを構成する"

手順2:サードパーティのCA証明書で署名してサーバ証明書を生成する

ONTAP Mediator 1.9以降

サーバ証明書は、秘密鍵とサードパーティ証明書 intermediate.crt`によって署名されている必要があります `intermediate.key。また、構成ファイル `/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf`には、OpenSSLによって発行されるサーバー証明書に必要なプロパティを指定する特定の属性が含まれています。

サーバ証明書を生成するには、次のコマンドを実行します。

手順
  1. サーバ証明書署名要求(CSR)を生成するには、フォルダから次のコマンドを実行し /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config ます。

    openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr

  2. CSRからサーバ証明書を生成するには、フォルダから次のコマンドを実行し /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config ます。

    メモ これらのファイルはPKI機関から取得されました。別の証明書名を使用している場合は、および `intermediate.key`を関連するファイル名に置き換え `intermediate.crt`ます。

    openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA intermediate.crt -CAkey intermediate.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt

    • `-CAcreateserial`オプションを使用してファイルを生成し `intermediate.srl`ます。

ONTAPメディエーター1.8以前

サーバ証明書は、秘密鍵とサードパーティ証明書 ca.crt`によって署名されている必要があります `ca.key。また、構成ファイル `/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf`には、OpenSSLによって発行されるサーバー証明書に必要なプロパティを指定する特定の属性が含まれています。

サーバ証明書を生成するには、次のコマンドを実行します。

手順
  1. サーバ証明書署名要求(CSR)を生成するには、フォルダから次のコマンドを実行し /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config ます。

    openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr

  2. CSRからサーバ証明書を生成するには、フォルダから次のコマンドを実行し /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config ます。

    メモ これらのファイルはPKI機関から取得されました。別の証明書名を使用している場合は、および `ca.key`を関連するファイル名に置き換え `ca.crt`ます。

    openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA ca.crt -CAkey ca.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt

    • `-CAcreateserial`オプションを使用してファイルを生成し `ca.srl`ます。

手順3:ONTAPメディエーター構成で新しいサードパーティのCA証明書とサーバ証明書を交換する

ONTAP Mediator 1.9以降

証明書の設定は、次の場所にある設定ファイルでONTAPメディエーターに提供されます。 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml 。このファイルには、次の属性が含まれています。

cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'
  • `cert_path`および `key_path`は、サーバ証明書変数です。

  • ca_cert_pathca_key_path、および `ca_serial_path`はCA証明書変数です。

手順
  1. すべてのファイルをサードパーティの証明書に置き換えます intermediate.*

  2. および証明書から証明書チェーンを作成し intermediate.crt ontap_mediator_server.crt ます。

    cat ontap_mediator_server.crt intermediate.crt > ontap_mediator_server_chain.crt

  3. ファイルを更新し /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini ます。

    、、およびの値を更新し mediator_cert mediator_key `ca_certificate`ます。

    set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

    set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

    set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_intermediate.crt

    • mediator_cert`値はファイルのパス `ontap_mediator_server_chain.crt です。

    • mediator_key value`は、ファイル内のキーパスです `ontap_mediator_server.crt ontap_mediator_server.key

    • ca_certificate`値はファイルのパス `root_intermediate.crt です。

  4. 新しく生成された証明書の次の属性が正しく設定されていることを確認します。

    • Linuxグループ所有者: netapp:netapp

    • Linux権限: 600

  5. ONTAP メディエーターを再起動します。

    systemctl restart ontap_mediator

ONTAPメディエーター1.8以前

証明書の設定は、次の場所にある設定ファイルでONTAPメディエーターに提供されます。 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml 。このファイルには、次の属性が含まれています。

cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt'
ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key'
ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'
  • `cert_path`および `key_path`は、サーバ証明書変数です。

  • ca_cert_pathca_key_path、および `ca_serial_path`はCA証明書変数です。

手順
  1. すべてのファイルをサードパーティの証明書に置き換えます ca.*

  2. および証明書から証明書チェーンを作成し ca.crt ontap_mediator_server.crt ます。

    cat ontap_mediator_server.crt ca.crt > ontap_mediator_server_chain.crt

  3. ファイルを更新し /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini ます。

    、、およびの値を更新し mediator_cert mediator_key `ca_certificate`ます。

    set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

    set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

    set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_ca.crt

    • mediator_cert`値はファイルのパス `ontap_mediator_server_chain.crt です。

    • mediator_key value`は、ファイル内のキーパスです `ontap_mediator_server.crt ontap_mediator_server.key

    • ca_certificate`値はファイルのパス `root_ca.crt です。

  4. 新しく生成された証明書の次の属性が正しく設定されていることを確認します。

    • Linuxグループ所有者: netapp:netapp

    • Linux権限: 600

  5. ONTAP メディエーターを再起動します。

    systemctl restart ontap_mediator

手順4:必要に応じて、サードパーティの証明書に別のパスまたは名前を使用します。

ONTAP Mediator 1.9以降

とは別の名前のサードパーティ証明書を使用することも、サードパーティ証明書を別の場所に保存することもできます intermediate.*

手順
  1. ファイル内のデフォルトの変数値を上書きするようにファイルを構成し /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml ontap_mediator.config.yaml ます。

    PKI権限から取得した秘密鍵をの場所に保存した場合、 intermediate.crt intermediate.key /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config ontap_mediator.user_config.yaml ファイルは次の例のようになります。

    メモ を使用して証明書に署名した場合は、 intermediate.crt ontap_mediator_server.crt intermediate.srl ファイルが生成されます。詳細については、を参照してください 手順2:サードパーティのCA証明書で署名してサーバ証明書を生成する
    [root@scs000216655 server_config]# cat  ontap_mediator.user_config.yaml
    
    # This config file can be used to override the default settings in ontap_mediator.config.yaml
    # To override a setting, copy the property key from ontap_mediator.config.yaml to this file and
    # set the property to the desired value. e.g.,
    #
    # The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml
    #
    # To override this value with 6 mailboxes per target, add the following key/value pair
    # below this comment:
    #
    # 'default_mailboxes_per_target': 6
    #
    cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
    key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
    ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt'
    ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key'
    ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'
    1. 証明書が証明書に署名する証明書を提供する証明書構造を使用している場合は root_intermediate.crt intermediate.crt ontap_mediator_server.crt 、および証明書から証明書チェーンを作成し intermediate.crt ontap_mediator_server.crt ます。

      メモ この手順の前半で、PKI機関から証明書と証明書を入手しておく必要があります intermediate.crt ontap_mediator_server.crt

      cat ontap_mediator_server.crt intermediate.crt > ontap_mediator_server_chain.crt

    2. ファイルを更新し /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini ます。

      、、およびの値を更新し mediator_cert mediator_key `ca_certificate`ます。

      set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

      set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

      set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_intermediate.crt

      • mediator_cert`値はファイルのパス `ontap_mediator_server_chain.crt です。

      • この mediator_key 値は、ファイル内のキーパス( ontap_mediator_server.crt )です。 ontap_mediator_server.key

      • ca_certificate`値はファイルのパス `root_intermediate.crt です。

        メモ SnapMirrorビジネス継続性(SM-BC)クラスタの場合は、証明書と証明書をONTAPクラスタに追加する必要があります intermediate.crt root_intermediate.crt 。を参照して "SnapMirror Active Sync 用に ONTAP Mediator とクラスタを構成する"
    3. 新しく生成された証明書の次の属性が正しく設定されていることを確認します。

      • Linuxグループ所有者: netapp:netapp

      • Linux権限: 600

  2. 設定ファイルで証明書が更新されたら、ONTAP Mediator を再起動します。

    systemctl restart ontap_mediator

ONTAPメディエーター1.8以前

とは別の名前のサードパーティ証明書を使用することも、サードパーティ証明書を別の場所に保存することもできます ca.*

手順
  1. ファイル内のデフォルトの変数値を上書きするようにファイルを構成し /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml ontap_mediator.config.yaml ます。

    PKI権限から取得した秘密鍵をの場所に保存した場合、 ca.crt ca.key /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config ontap_mediator.user_config.yaml ファイルは次の例のようになります。

    メモ を使用して証明書に署名した場合は、 ca.crt ontap_mediator_server.crt ca.srl ファイルが生成されます。詳細については、を参照してください 手順2:サードパーティのCA証明書で署名してサーバ証明書を生成する
    [root@scs000216655 server_config]# cat  ontap_mediator.user_config.yaml
    
    # This config file can be used to override the default settings in ontap_mediator.config.yaml
    # To override a setting, copy the property key from ontap_mediator.config.yaml to this file and
    # set the property to the desired value. e.g.,
    #
    # The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml
    #
    # To override this value with 6 mailboxes per target, add the following key/value pair
    # below this comment:
    #
    # 'default_mailboxes_per_target': 6
    #
    cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt'
    key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key'
    ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt'
    ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key'
    ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'
    1. 証明書が証明書に署名する証明書を提供する証明書構造を使用している場合は root_ca.crt ca.crt ontap_mediator_server.crt 、および証明書から証明書チェーンを作成し ca.crt ontap_mediator_server.crt ます。

      メモ この手順の前半で、PKI機関から証明書と証明書を入手しておく必要があります ca.crt ontap_mediator_server.crt

      cat ontap_mediator_server.crt ca.crt > ontap_mediator_server_chain.crt

    2. ファイルを更新し /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini ます。

      、、およびの値を更新し mediator_cert mediator_key `ca_certificate`ます。

      set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crt

      set-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key

      set-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_ca.crt

      • mediator_cert`値はファイルのパス `ontap_mediator_server_chain.crt です。

      • この mediator_key 値は、ファイル内のキーパス( ontap_mediator_server.crt )です。 ontap_mediator_server.key

      • ca_certificate`値はファイルのパス `root_ca.crt です。

        メモ SnapMirrorビジネス継続性(SM-BC)クラスタの場合は、証明書と証明書をONTAPクラスタに追加する必要があります ca.crt root_ca.crt 。を参照して "SnapMirror Active Sync 用に ONTAP Mediator とクラスタを構成する"
    3. 新しく生成された証明書の次の属性が正しく設定されていることを確認します。

      • Linuxグループ所有者: netapp:netapp

      • Linux権限: 600

  2. 設定ファイルで証明書が更新されたら、ONTAP Mediator を再起動します。

    systemctl restart ontap_mediator

証明書関連の問題のトラブルシューティング

証明書の特定のプロパティを確認できます。

証明書の有効期限を確認

証明書の有効範囲を確認するには、次のコマンドを使用します。

ONTAP Mediator 1.9以降
[root@mediator_host server_config]# openssl x509 -in intermediate.crt -text -noout
Certificate:
    Data:
...
        Validity
            Not Before: Feb 22 19:57:25 2024 GMT
            Not After : Feb 15 19:57:25 2029 GMT
ONTAPメディエーター1.8以前
[root@mediator_host server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...
        Validity
            Not Before: Feb 22 19:57:25 2024 GMT
            Not After : Feb 15 19:57:25 2029 GMT

CA証明書でのX509v3拡張の確認

次のコマンドを使用して、CA証明書のX509v3拡張を確認します。

ONTAP Mediator 1.9以降

openssl_ca.cnf`定義されたプロパティは `v3_ca、の `intermediate.crt`ように表示され `X509v3 extensions`ます。

[root@mediator_host server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@mediator_host server_config]# cat openssl_ca.cnf
...
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, cRLSign, digitalSignature, keyCertSign

[root@mediator_host server_config]# openssl x509 -in intermediate.crt -text -noout
Certificate:
    Data:
...
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
            X509v3 Authority Key Identifier:
                keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27

            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign
ONTAPメディエーター1.8以前

openssl_ca.cnf`定義されたプロパティは `v3_ca、の `ca.crt`ように表示され `X509v3 extensions`ます。

[root@mediator_host server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@mediator_host server_config]# cat openssl_ca.cnf
...
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, cRLSign, digitalSignature, keyCertSign

[root@mediator_host server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
            X509v3 Authority Key Identifier:
                keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27

            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Key Usage: critical
                Digital Signature, Certificate Sign, CRL Sign

サーバ証明書およびサブジェクトの代替名のX509v3拡張を確認する

`v3_req`構成ファイルで定義されたプロパティは `openssl_server.cnf`、証明書でと表示され `X509v3 extensions`ます。

次の例では、 alt_names`コマンドを実行してセクション `hostname -A`そして `hostname -I ONTAP Mediator がインストールされている Linux VM 上。

変数の正しい値については、ネットワーク管理者に確認してください。

ONTAP Mediator 1.9以降
[root@mediator_host server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@mediator_host server_config]# cat openssl_server.cnf
...
[ v3_req ]
basicConstraints       = CA:false
extendedKeyUsage       = serverAuth
keyUsage               = keyEncipherment, dataEncipherment
subjectAltName         = @alt_names

[ alt_names ]
DNS.1 = abc.company.com
DNS.2 = abc-v6.company.com
IP.1 = 1.2.3.4
IP.2 = abcd:abcd:abcd:abcd:abcd:abcd

[root@mediator_host server_config]# openssl x509 -in intermediate.crt -text -noout
Certificate:
    Data:
...

        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Key Usage:
                Key Encipherment, Data Encipherment
            X509v3 Subject Alternative Name:
                DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd
ONTAPメディエーター1.8以前
[root@mediator_host server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@mediator_host server_config]# cat openssl_server.cnf
...
[ v3_req ]
basicConstraints       = CA:false
extendedKeyUsage       = serverAuth
keyUsage               = keyEncipherment, dataEncipherment
subjectAltName         = @alt_names

[ alt_names ]
DNS.1 = abc.company.com
DNS.2 = abc-v6.company.com
IP.1 = 1.2.3.4
IP.2 = abcd:abcd:abcd:abcd:abcd:abcd

[root@mediator_host server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
    Data:
...

        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Key Usage:
                Key Encipherment, Data Encipherment
            X509v3 Subject Alternative Name:
                DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd

秘密鍵が証明書と一致することを確認する

特定の秘密鍵が証明書と一致するかどうかを確認できます。

キーと証明書に対して、それぞれ次のOpenSSLコマンドを使用します。

ONTAP Mediator 1.9以降
[root@mediator_host server_config]# openssl rsa -noout -modulus -in intermediate.key | openssl md5
Enter pass phrase for intermediate.key:
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
[root@mediator_host server_config]# openssl x509 -noout -modulus -in intermediate.crt | openssl md5
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
ONTAPメディエーター1.8以前
[root@mediator_host server_config]# openssl rsa -noout -modulus -in ca.key | openssl md5
Enter pass phrase for ca.key:
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
[root@mediator_host server_config]# openssl x509 -noout -modulus -in ca.crt | openssl md5
(stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc

両方の属性が一致する場合、 `-modulus`秘密鍵と証明書のペアに互換性があり、相互に動作できることを示します。

サーバ証明書が特定のCA証明書から作成されていることを確認する

サーバ証明書が特定のCA証明書から作成されたことを確認するには、次のコマンドを使用します。

ONTAP Mediator 1.9以降
[root@mediator_host server_config]# openssl verify -CAfile root_ca.crt --untrusted intermediate.crt ontap_mediator_server.crt
ontap_mediator_server.crt: OK
[root@mediator_host server_config]#
ONTAPメディエーター1.8以前
[root@mediator_host server_config]# openssl verify -CAfile ca.crt ontap_mediator_server.crt
ontap_mediator_server.crt: OK

Online Certificate Status Protocol(OCSP)検証を使用している場合は、コマンドを使用し "OpenSSL -検証"ます。