ONTAPメディエーターの管理
変更を提案
PDF
ユーザー認証情報の変更、サービスの停止と再有効化、サービスの健全性の検証、ホストのメンテナンスのための SCST のインストールまたはアンインストールなど、ONTAP Mediator を管理します。また、自己署名証明書の再生成、信頼されたサードパーティ証明書への置き換え、証明書関連の問題のトラブルシューティングなど、証明書の管理も行うことができます。
ユーザ名の変更
ユーザ名は次の手順を使用して変更できます。
ONTAP Mediator をインストールした Linux ホストでこのタスクを実行します。
このコマンドを実行できない場合は、次の例のように完全パスを使用してコマンドを実行する必要があります。
/usr/local/bin/mediator_username
次のいずれかを実行してユーザ名を変更します。
-
オプション(a):コマンドを実行し
mediator_change_user、次の例に示すようにプロンプトに応答します。[root@mediator-host ~]# mediator_change_user Modify the Mediator API username by entering the following values: Mediator API User Name: mediatoradmin Password: New Mediator API User Name: mediator The account username has been modified successfully. [root@mediator-host ~]# -
オプション(b):次のコマンドを実行します。
MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD=mediator2 MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user[root@mediator-host ~]# MEDIATOR_USERNAME=mediator MEDIATOR_PASSWORD='mediator2' MEDIATOR_NEW_USERNAME=mediatoradmin mediator_change_user The account username has been modified successfully. [root@mediator-host ~]#
パスワードの変更
パスワードは次の手順を使用して変更できます。
ONTAP Mediator をインストールした Linux ホストでこのタスクを実行します。
このコマンドを実行できない場合は、次の例のように完全パスを使用してコマンドを実行する必要があります。
/usr/local/bin/mediator_change_password
次のいずれかを実行してパスワードを変更します。
-
オプション(a):コマンドを実行し
mediator_change_password、次の例に示すようにプロンプトに応答します。[root@mediator-host ~]# mediator_change_password Change the Mediator API password by entering the following values: Mediator API User Name: mediatoradmin Old Password: New Password: Confirm Password: The password has been updated successfully. [root@mediator-host ~]# -
オプション(b):次のコマンドを実行します。
MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_passwordこの例では、パスワードが「mediator1」から「mediator2」に変更されています。
[root@mediator-host ~]# MEDIATOR_USERNAME=mediatoradmin MEDIATOR_PASSWORD=mediator1 MEDIATOR_NEW_PASSWORD=mediator2 mediator_change_password The password has been updated successfully. [root@mediator-host ~]#
ONTAPメディエーターを停止する
ONTAP Mediator を停止するには、次の手順を実行します。
-
ONTAP メディエーターを停止します。
systemctl stop ontap_mediator -
SCSTを停止します。
systemctl stop mediator-scst -
ONTAP メディエーターと SCST を無効にします。
systemctl diable ontap_mediator mediator-scst
ONTAPメディエーターを再度有効にする
ONTAP Mediator を再度有効にするには、次の手順を実行します。
-
ONTAP Mediator と SCST を有効にします。
systemctl enable ontap_mediator mediator-scst -
SCSTを開始します。
systemctl start mediator-scst -
ONTAPメディエーターを起動します。
systemctl start ontap_mediator
ONTAPメディエーターが正常であることを確認する
ONTAP Mediator をインストールした後、正常に実行されていることを確認します。
-
ONTAP Mediator のステータスを表示します。
-
systemctl status ontap_mediator[root@scspr1915530002 ~]# systemctl status ontap_mediator ontap_mediator.service - ONTAP Mediator Loaded: loaded (/etc/systemd/system/ontap_mediator.service; enabled; vendor preset: disabled) Active: active (running) since Mon 2022-04-18 10:41:49 EDT; 1 weeks 0 days ago Process: 286710 ExecStop=/bin/kill -s INT $MAINPID (code=exited, status=0/SUCCESS) Main PID: 286712 (uwsgi) Status: "uWSGI is ready" Tasks: 3 (limit: 49473) Memory: 139.2M CGroup: /system.slice/ontap_mediator.service ├─286712 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini ├─286716 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini └─286717 /opt/netapp/lib/ontap_mediator/pyenv/bin/uwsgi --ini /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini [root@scspr1915530002 ~]# -
systemctl status mediator-scst[root@scspr1915530002 ~]# systemctl status mediator-scst Loaded: loaded (/etc/systemd/system/mediator-scst.service; enabled; vendor preset: disabled) Active: active (running) since Mon 2022-04-18 10:41:47 EDT; 1 weeks 0 days ago Process: 286595 ExecStart=/etc/init.d/scst start (code=exited, status=0/SUCCESS) Main PID: 286662 (iscsi-scstd) Tasks: 1 (limit: 49473) Memory: 1.2M CGroup: /system.slice/mediator-scst.service └─286662 /usr/local/sbin/iscsi-scstd [root@scspr1915530002 ~]#
-
-
ONTAP Mediator で使用されるポートを確認します。
netstat[root@scspr1905507001 ~]# netstat -anlt | grep -E '3260|31784' tcp 0 0 0.0.0.0:31784 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:3260 0.0.0.0:* LISTEN tcp6 0 0 :::3260 :::* LISTEN
ONTAPメディエーターのアンインストール
必要に応じて、ONTAP Mediator を削除できます。
ONTAP Mediator を削除する前に、ONTAP から切断する必要があります。
ONTAP Mediator をインストールした Linux ホストでこのタスクを実行します。
このコマンドを実行できない場合は、次の例のように完全パスを使用してコマンドを実行する必要があります。
/usr/local/bin/uninstall_ontap_mediator
-
ONTAP Mediator をアンインストールします。
uninstall_ontap_mediator[root@mediator-host ~]# uninstall_ontap_mediator ONTAP Mediator: Self Extracting Uninstaller + Removing ONTAP Mediator. (Log: /tmp/ontap_mediator.GmRGdA/uninstall_ontap_mediator/remove.log) + Remove successful. [root@mediator-host ~]#
一時的な自己署名証明書の再生成
ONTAPメディエーター1.7以降では、次の手順を使用して一時的な自己署名証明書を再生成できます。
|
この手順は、ONTAPメディエーター1.7以降を実行しているシステムでのみサポートされます。 |
-
ONTAP Mediator をインストールした Linux ホストでこのタスクを実行します。
-
このタスクは、ONTAP Mediator のインストール後にホストのホスト名または IP アドレスが変更されたために、生成された自己署名証明書が古くなった場合にのみ実行できます。
-
一時的な自己署名証明書を信頼できるサードパーティ証明書に置き換えたあと、このタスクを使用して証明書を再生成します。自己署名証明書がないと、この手順は失敗します。
現在のホストの新しい一時的な自己署名証明書を再生成するには、次の手順を実行します。
-
ONTAP メディエーターを再起動します。
./make_self_signed_certs.sh overwrite[root@xyz000123456 ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@xyz000123456 server_config]# ./make_self_signed_certs.sh overwrite Adding Subject Alternative Names to the self-signed server certificate # # OpenSSL example configuration file. Generating self-signed certificates Generating RSA private key, 4096 bit long modulus (2 primes) ..................................................................................................................................................................++++ ........................................................++++ e is 65537 (0x010001) Generating a RSA private key ................................................++++ .............................................................................................................................................++++ writing new private key to 'ontap_mediator_server.key' ----- Signature ok subject=C = US, ST = California, L = San Jose, O = "NetApp, Inc.", OU = ONTAP Core Software, CN = ONTAP Mediator, emailAddress = support@netapp.com Getting CA Private Key
自己署名証明書を信頼できるサードパーティ証明書に置き換える
自己署名証明書がサポートされている場合は、信頼できるサードパーティの証明書に置き換えることができます。
|
|
-
ONTAP Mediator をインストールした Linux ホストでこのタスクを実行します。
-
このタスクは、生成された自己署名証明書を、信頼された下位の認証局(CA)から取得した証明書に置き換える必要がある場合に実行できます。これを実現するには、信頼できる公開キーインフラストラクチャ(PKI)権限にアクセスする必要があります。
-
次の図は、各ONTAPメディエーター証明書の目的を示しています。
-
次の図は、Web サーバのセットアップと ONTAP Mediator のセットアップの構成を示しています。
手順1:CA証明書を発行しているサードパーティから証明書を取得する
次の手順を使用して、PKI認証局から証明書を取得できます。
次の例は、にあるサードパーティの証明書アクターで自己署名証明書アクターを置き換える方法を示してい `/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/`ます。
|
|
この例では、ONTAP Mediator に必要な証明書の必要な基準を示します。この手順とは異なる方法で、PKI認証局から証明書を取得できます。ビジネスニーズに応じて手順を調整します。 |
-
PKI機関が証明書を生成するために使用する秘密鍵とコンフィギュレーションファイルを
openssl_ca.cnf`作成します `intermediate.key。-
秘密鍵を生成し `intermediate.key`ます。
-
例 *
-
openssl genrsa -aes256 -out intermediate.key 4096-
構成ファイル
openssl_ca.cnf(にあります/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf)は、生成された証明書に必要なプロパティを定義します。
-
-
秘密鍵と構成ファイルを使用して、証明書署名要求を作成し `intermediate.csr`ます。
-
例: *
openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf
[root@scs000216655 server_config]# openssl req -key intermediate.key -new -config openssl_ca.cnf -out intermediate.csr Enter pass phrase for intermediate.key: [root@scs000216655 server_config]# cat intermediate.csr -----BEGIN CERTIFICATE REQUEST----- <certificate_value> -----END CERTIFICATE REQUEST-----
-
-
証明書署名要求をPKI機関に送信し `intermediate.csr`て署名を求めます。
PKI認証局は要求を検証し、に署名して
.csr`証明書を生成し `intermediate.crt`ます。さらに、PKI認証局から証明書に署名した証明書を取得する必要があり `root_intermediate.crtintermediate.crtます。
SnapMirrorビジネス継続性(SM-BC)クラスタの場合は、証明書と証明書をONTAPクラスタに追加する必要があります intermediate.crtroot_intermediate.crt。を参照して "SnapMirror Active Sync 用に ONTAP Mediator とクラスタを構成する"
-
PKI機関が証明書を生成するために使用する秘密鍵とコンフィギュレーションファイルを
openssl_ca.cnf`作成します `ca.key。-
秘密鍵を生成し `ca.key`ます。
-
例 *
-
openssl genrsa -aes256 -out ca.key 4096-
構成ファイル
openssl_ca.cnf(にあります/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf)は、生成された証明書に必要なプロパティを定義します。
-
-
秘密鍵と構成ファイルを使用して、証明書署名要求を作成し `ca.csr`ます。
-
例: *
openssl req -key <private_key_name>.key -new -out <certificate_csr_name>.csr -config <config_file_name>.cnf
[root@scs000216655 server_config]# openssl req -key ca.key -new -config openssl_ca.cnf -out ca.csr Enter pass phrase for ca.key: [root@scs000216655 server_config]# cat ca.csr -----BEGIN CERTIFICATE REQUEST----- <certificate_value> -----END CERTIFICATE REQUEST-----
-
-
証明書署名要求をPKI機関に送信し `ca.csr`て署名を求めます。
PKI認証局は要求を検証し、に署名して `.csr`証明書を生成し `ca.crt`ます。さらに、PKI認証局から証明書を取得する必要があり `root_ca.crt that signed the `ca.crt`ます。
SnapMirrorビジネス継続性(SM-BC)クラスタの場合は、証明書と証明書をONTAPクラスタに追加する必要があります ca.crtroot_ca.crt。を参照して "SnapMirror Active Sync 用に ONTAP Mediator とクラスタを構成する"
手順2:サードパーティのCA証明書で署名してサーバ証明書を生成する
サーバ証明書は、秘密鍵とサードパーティ証明書 intermediate.crt`によって署名されている必要があります `intermediate.key。また、構成ファイル `/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf`には、OpenSSLによって発行されるサーバー証明書に必要なプロパティを指定する特定の属性が含まれています。
サーバ証明書を生成するには、次のコマンドを実行します。
-
サーバ証明書署名要求(CSR)を生成するには、フォルダから次のコマンドを実行し
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_configます。openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr -
CSRからサーバ証明書を生成するには、フォルダから次のコマンドを実行し
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_configます。
これらのファイルはPKI機関から取得されました。別の証明書名を使用している場合は、および `intermediate.key`を関連するファイル名に置き換え `intermediate.crt`ます。 openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA intermediate.crt -CAkey intermediate.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt-
`-CAcreateserial`オプションを使用してファイルを生成し `intermediate.srl`ます。
-
サーバ証明書は、秘密鍵とサードパーティ証明書 ca.crt`によって署名されている必要があります `ca.key。また、構成ファイル `/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_server.cnf`には、OpenSSLによって発行されるサーバー証明書に必要なプロパティを指定する特定の属性が含まれています。
サーバ証明書を生成するには、次のコマンドを実行します。
-
サーバ証明書署名要求(CSR)を生成するには、フォルダから次のコマンドを実行し
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_configます。openssl req -config openssl_server.cnf -extensions v3_req -nodes -newkey rsa:4096 -sha512 -keyout ontap_mediator_server.key -out ontap_mediator_server.csr -
CSRからサーバ証明書を生成するには、フォルダから次のコマンドを実行し
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_configます。
これらのファイルはPKI機関から取得されました。別の証明書名を使用している場合は、および `ca.key`を関連するファイル名に置き換え `ca.crt`ます。 openssl x509 -extfile openssl_server.cnf -extensions v3_req -CA ca.crt -CAkey ca.key -CAcreateserial -sha512 -days 1095 -req -in ontap_mediator_server.csr -out ontap_mediator_server.crt-
`-CAcreateserial`オプションを使用してファイルを生成し `ca.srl`ます。
-
手順3:ONTAPメディエーター構成で新しいサードパーティのCA証明書とサーバ証明書を交換する
証明書の設定は、次の場所にある設定ファイルでONTAPメディエーターに提供されます。 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml 。このファイルには、次の属性が含まれています。
cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt' key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key' ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt' ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key' ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'
-
`cert_path`および `key_path`は、サーバ証明書変数です。
-
ca_cert_path、ca_key_path、および `ca_serial_path`はCA証明書変数です。
-
すべてのファイルをサードパーティの証明書に置き換えます
intermediate.*。 -
および証明書から証明書チェーンを作成し
intermediate.crtontap_mediator_server.crtます。cat ontap_mediator_server.crt intermediate.crt > ontap_mediator_server_chain.crt -
ファイルを更新し
/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.iniます。、、およびの値を更新し
mediator_certmediator_key`ca_certificate`ます。set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crtset-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.keyset-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_intermediate.crt-
mediator_cert`値はファイルのパス `ontap_mediator_server_chain.crtです。 -
mediator_key value`は、ファイル内のキーパスです `ontap_mediator_server.crtontap_mediator_server.key。 -
ca_certificate`値はファイルのパス `root_intermediate.crtです。
-
-
新しく生成された証明書の次の属性が正しく設定されていることを確認します。
-
Linuxグループ所有者:
netapp:netapp -
Linux権限:
600
-
-
ONTAP メディエーターを再起動します。
systemctl restart ontap_mediator
証明書の設定は、次の場所にある設定ファイルでONTAPメディエーターに提供されます。 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml 。このファイルには、次の属性が含まれています。
cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt' key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key' ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt' ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key' ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'
-
`cert_path`および `key_path`は、サーバ証明書変数です。
-
ca_cert_path、ca_key_path、および `ca_serial_path`はCA証明書変数です。
-
すべてのファイルをサードパーティの証明書に置き換えます
ca.*。 -
および証明書から証明書チェーンを作成し
ca.crtontap_mediator_server.crtます。cat ontap_mediator_server.crt ca.crt > ontap_mediator_server_chain.crt -
ファイルを更新し
/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.iniます。、、およびの値を更新し
mediator_certmediator_key`ca_certificate`ます。set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crtset-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.keyset-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_ca.crt-
mediator_cert`値はファイルのパス `ontap_mediator_server_chain.crtです。 -
mediator_key value`は、ファイル内のキーパスです `ontap_mediator_server.crtontap_mediator_server.key。 -
ca_certificate`値はファイルのパス `root_ca.crtです。
-
-
新しく生成された証明書の次の属性が正しく設定されていることを確認します。
-
Linuxグループ所有者:
netapp:netapp -
Linux権限:
600
-
-
ONTAP メディエーターを再起動します。
systemctl restart ontap_mediator
手順4:必要に応じて、サードパーティの証明書に別のパスまたは名前を使用します。
とは別の名前のサードパーティ証明書を使用することも、サードパーティ証明書を別の場所に保存することもできます intermediate.*。
-
ファイル内のデフォルトの変数値を上書きするようにファイルを構成し
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yamlontap_mediator.config.yamlます。PKI権限から取得した秘密鍵をの場所に保存した場合、
intermediate.crtintermediate.key/opt/netapp/lib/ontap_mediator/ontap_mediator/server_configontap_mediator.user_config.yamlファイルは次の例のようになります。
を使用して証明書に署名した場合は、 intermediate.crtontap_mediator_server.crtintermediate.srlファイルが生成されます。詳細については、を参照してください 手順2:サードパーティのCA証明書で署名してサーバ証明書を生成する 。[root@scs000216655 server_config]# cat ontap_mediator.user_config.yaml # This config file can be used to override the default settings in ontap_mediator.config.yaml # To override a setting, copy the property key from ontap_mediator.config.yaml to this file and # set the property to the desired value. e.g., # # The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml # # To override this value with 6 mailboxes per target, add the following key/value pair # below this comment: # # 'default_mailboxes_per_target': 6 # cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt' key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key' ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.crt' ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.key' ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/intermediate.srl'
-
証明書が証明書に署名する証明書を提供する証明書構造を使用している場合は
root_intermediate.crtintermediate.crtontap_mediator_server.crt、および証明書から証明書チェーンを作成しintermediate.crtontap_mediator_server.crtます。
この手順の前半で、PKI機関から証明書と証明書を入手しておく必要があります intermediate.crtontap_mediator_server.crt。cat ontap_mediator_server.crt intermediate.crt > ontap_mediator_server_chain.crt -
ファイルを更新し
/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.iniます。、、およびの値を更新し
mediator_certmediator_key`ca_certificate`ます。set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crtset-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.keyset-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_intermediate.crt-
mediator_cert`値はファイルのパス `ontap_mediator_server_chain.crtです。 -
この
mediator_key値は、ファイル内のキーパス(ontap_mediator_server.crt)です。ontap_mediator_server.key -
ca_certificate`値はファイルのパス `root_intermediate.crtです。
SnapMirrorビジネス継続性(SM-BC)クラスタの場合は、証明書と証明書をONTAPクラスタに追加する必要があります intermediate.crtroot_intermediate.crt。を参照して "SnapMirror Active Sync 用に ONTAP Mediator とクラスタを構成する"
-
-
新しく生成された証明書の次の属性が正しく設定されていることを確認します。
-
Linuxグループ所有者:
netapp:netapp -
Linux権限:
600
-
-
-
設定ファイルで証明書が更新されたら、ONTAP Mediator を再起動します。
systemctl restart ontap_mediator
とは別の名前のサードパーティ証明書を使用することも、サードパーティ証明書を別の場所に保存することもできます ca.*。
-
ファイル内のデフォルトの変数値を上書きするようにファイルを構成し
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yamlontap_mediator.config.yamlます。PKI権限から取得した秘密鍵をの場所に保存した場合、
ca.crtca.key/opt/netapp/lib/ontap_mediator/ontap_mediator/server_configontap_mediator.user_config.yamlファイルは次の例のようになります。
を使用して証明書に署名した場合は、 ca.crtontap_mediator_server.crtca.srlファイルが生成されます。詳細については、を参照してください 手順2:サードパーティのCA証明書で署名してサーバ証明書を生成する 。[root@scs000216655 server_config]# cat ontap_mediator.user_config.yaml # This config file can be used to override the default settings in ontap_mediator.config.yaml # To override a setting, copy the property key from ontap_mediator.config.yaml to this file and # set the property to the desired value. e.g., # # The default value for 'default_mailboxes_per_target' is 4 in ontap_mediator.config.yaml # # To override this value with 6 mailboxes per target, add the following key/value pair # below this comment: # # 'default_mailboxes_per_target': 6 # cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.crt' key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.key' ca_cert_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.crt' ca_key_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.key' ca_serial_path: '/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ca.srl'
-
証明書が証明書に署名する証明書を提供する証明書構造を使用している場合は
root_ca.crtca.crtontap_mediator_server.crt、および証明書から証明書チェーンを作成しca.crtontap_mediator_server.crtます。
この手順の前半で、PKI機関から証明書と証明書を入手しておく必要があります ca.crtontap_mediator_server.crt。cat ontap_mediator_server.crt ca.crt > ontap_mediator_server_chain.crt -
ファイルを更新し
/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.iniます。、、およびの値を更新し
mediator_certmediator_key`ca_certificate`ます。set-placeholder = mediator_cert = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server_chain.crtset-placeholder = mediator_key = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator_server.keyset-placeholder = ca_certificate = /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/root_ca.crt-
mediator_cert`値はファイルのパス `ontap_mediator_server_chain.crtです。 -
この
mediator_key値は、ファイル内のキーパス(ontap_mediator_server.crt)です。ontap_mediator_server.key -
ca_certificate`値はファイルのパス `root_ca.crtです。
SnapMirrorビジネス継続性(SM-BC)クラスタの場合は、証明書と証明書をONTAPクラスタに追加する必要があります ca.crtroot_ca.crt。を参照して "SnapMirror Active Sync 用に ONTAP Mediator とクラスタを構成する"
-
-
新しく生成された証明書の次の属性が正しく設定されていることを確認します。
-
Linuxグループ所有者:
netapp:netapp -
Linux権限:
600
-
-
-
設定ファイルで証明書が更新されたら、ONTAP Mediator を再起動します。
systemctl restart ontap_mediator
証明書関連の問題のトラブルシューティング
証明書の特定のプロパティを確認できます。
証明書の有効期限を確認
証明書の有効範囲を確認するには、次のコマンドを使用します。
[root@mediator_host server_config]# openssl x509 -in intermediate.crt -text -noout
Certificate:
Data:
...
Validity
Not Before: Feb 22 19:57:25 2024 GMT
Not After : Feb 15 19:57:25 2029 GMT
[root@mediator_host server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
Data:
...
Validity
Not Before: Feb 22 19:57:25 2024 GMT
Not After : Feb 15 19:57:25 2029 GMT
CA証明書でのX509v3拡張の確認
次のコマンドを使用して、CA証明書のX509v3拡張を確認します。
で openssl_ca.cnf`定義されたプロパティは `v3_ca、の `intermediate.crt`ように表示され `X509v3 extensions`ます。
[root@mediator_host server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
[root@mediator_host server_config]# cat openssl_ca.cnf
...
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, cRLSign, digitalSignature, keyCertSign
[root@mediator_host server_config]# openssl x509 -in intermediate.crt -text -noout
Certificate:
Data:
...
X509v3 extensions:
X509v3 Subject Key Identifier:
9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
X509v3 Authority Key Identifier:
keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage: critical
Digital Signature, Certificate Sign, CRL Sign
で openssl_ca.cnf`定義されたプロパティは `v3_ca、の `ca.crt`ように表示され `X509v3 extensions`ます。
[root@mediator_host server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
[root@mediator_host server_config]# cat openssl_ca.cnf
...
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, cRLSign, digitalSignature, keyCertSign
[root@mediator_host server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
Data:
...
X509v3 extensions:
X509v3 Subject Key Identifier:
9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
X509v3 Authority Key Identifier:
keyid:9F:06:FA:47:00:67:BA:B2:D4:82:70:38:B8:48:55:B5:24:DB:FC:27
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage: critical
Digital Signature, Certificate Sign, CRL Sign
サーバ証明書およびサブジェクトの代替名のX509v3拡張を確認する
`v3_req`構成ファイルで定義されたプロパティは `openssl_server.cnf`、証明書でと表示され `X509v3 extensions`ます。
次の例では、 alt_names`コマンドを実行してセクション `hostname -A`そして `hostname -I ONTAP Mediator がインストールされている Linux VM 上。
変数の正しい値については、ネットワーク管理者に確認してください。
[root@mediator_host server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
[root@mediator_host server_config]# cat openssl_server.cnf
...
[ v3_req ]
basicConstraints = CA:false
extendedKeyUsage = serverAuth
keyUsage = keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[ alt_names ]
DNS.1 = abc.company.com
DNS.2 = abc-v6.company.com
IP.1 = 1.2.3.4
IP.2 = abcd:abcd:abcd:abcd:abcd:abcd
[root@mediator_host server_config]# openssl x509 -in intermediate.crt -text -noout
Certificate:
Data:
...
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Extended Key Usage:
TLS Web Server Authentication
X509v3 Key Usage:
Key Encipherment, Data Encipherment
X509v3 Subject Alternative Name:
DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd
[root@mediator_host server_config]# pwd
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
[root@mediator_host server_config]# cat openssl_server.cnf
...
[ v3_req ]
basicConstraints = CA:false
extendedKeyUsage = serverAuth
keyUsage = keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[ alt_names ]
DNS.1 = abc.company.com
DNS.2 = abc-v6.company.com
IP.1 = 1.2.3.4
IP.2 = abcd:abcd:abcd:abcd:abcd:abcd
[root@mediator_host server_config]# openssl x509 -in ca.crt -text -noout
Certificate:
Data:
...
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Extended Key Usage:
TLS Web Server Authentication
X509v3 Key Usage:
Key Encipherment, Data Encipherment
X509v3 Subject Alternative Name:
DNS:abc.company.com, DNS:abc-v6.company.com, IP Address:1.2.3.4, IP Address:abcd:abcd:abcd:abcd:abcd:abcd
秘密鍵が証明書と一致することを確認する
特定の秘密鍵が証明書と一致するかどうかを確認できます。
キーと証明書に対して、それぞれ次のOpenSSLコマンドを使用します。
[root@mediator_host server_config]# openssl rsa -noout -modulus -in intermediate.key | openssl md5 Enter pass phrase for intermediate.key: (stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc [root@mediator_host server_config]# openssl x509 -noout -modulus -in intermediate.crt | openssl md5 (stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
[root@mediator_host server_config]# openssl rsa -noout -modulus -in ca.key | openssl md5 Enter pass phrase for ca.key: (stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc [root@mediator_host server_config]# openssl x509 -noout -modulus -in ca.crt | openssl md5 (stdin)= 14c6b98b0c7c59012b1de89eee4a9dbc
両方の属性が一致する場合、 `-modulus`秘密鍵と証明書のペアに互換性があり、相互に動作できることを示します。
サーバ証明書が特定のCA証明書から作成されていることを確認する
サーバ証明書が特定のCA証明書から作成されたことを確認するには、次のコマンドを使用します。
[root@mediator_host server_config]# openssl verify -CAfile root_ca.crt --untrusted intermediate.crt ontap_mediator_server.crt ontap_mediator_server.crt: OK [root@mediator_host server_config]#
[root@mediator_host server_config]# openssl verify -CAfile ca.crt ontap_mediator_server.crt ontap_mediator_server.crt: OK
Online Certificate Status Protocol(OCSP)検証を使用している場合は、コマンドを使用し "OpenSSL -検証"ます。