Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP Mediatorのコード署名の検証

共同作成者 netapp-sarajane netapp-thomi netapp-ranuk netapp-dbagwell
PDF

NetAppでは、インストール前にONTAP Mediatorのコード署名を検証することを推奨しています。この手順はオプションです。

開始する前に

ONTAP Mediator コード署名を検証する前に、システムがこれらの要件を満たしていることを確認してください。

メモ

  • 2025年6月15日以降、コード署名検証証明書の有効期限が切れているため、ONTAP Mediator 1.9および1.8のインストールまたはアップグレードはできません。代わりに、ONTAP Mediator 1.11または1.10をインストールまたはアップグレードしてください。

  • システムが以下の要件を満たしていない場合、検証プロセスは必要なく、直接"ONTAP Mediatorのインストール パッケージのインストール"に進むことができます。

  • OpenSSLバージョン1.0.2~3.0:基本的な検証の場合

  • OpenSSLバージョン1.1.0以降:時刻認証局(TSA)の処理の場合

  • パブリック インターネットへのアクセス:OCSP検証の場合

ダウンロード パッケージには次のファイルが含まれています:

ファイル

概要

ONTAP-Mediator-production.pub

署名の検証に使用された公開鍵

csc-prod-chain-ONTAP-Mediator.pem

公開証明書CAの信頼チェーン

csc-prod-ONTAP-Mediator.pem

キーの生成に使用された証明書

ontap-mediator-1.11.0

バージョン1.11の製品インストール実行ファイル

ontap-mediator-1.11.0.sig

SHA-256でハッシュ化され、csc-prodキーを使用してRSA署名された、インストーラの署名

ontap-mediator-1.11.0.sig.tsr

OCSCPがインストーラの署名に使用する失効要求

ontap-mediator-1.11.0.tsr

タイムスタンプ署名要求ファイル

tsa-prod-ONTAP-Mediator.pem

TSRの公開証明書

tsa-prod-chain-ONTAP-Mediator.pem

TSRの公開証明書のCAチェーン
手順

  1. `csc-prod-ONTAP-Mediator.pem`でオンライン証明書ステータス プロトコル(OCSP)を使用して失効チェックを実行します。

    1. 証明書のOCSP URLを見つけます。開発者証明書ではURIが提供されない場合があります:

      openssl x509 -noout -ocsp_uri -in csc-prod-chain-ONTAP-Mediator.pem

    2. 証明書のOCSP要求を生成します。

      openssl ocsp -issuer csc-prod-chain-ONTAP-Mediator.pem -CAfile csc-prod-chain-ONTAP-Mediator.pem -cert csc-prod-ONTAP-Mediator.pem  -reqout req.der

    3. OCSP Managerに接続してOCSP要求を送信します。

      openssl ocsp -issuer csc-prod-chain-ONTAP-Mediator.pem -CAfile csc-prod-chain-ONTAP-Mediator.pem -cert csc-prod-ONTAP-Mediator.pem  -url ${ocsp_uri} -resp_text -respout resp.der -verify_other csc-prod-chain-ONTAP-Mediator.pem

  2. ローカル ホストに照らしてCSCの信頼チェーンと有効期限を検証します。

    openssl verify

    メモ PATH からの openssl`バージョンには、有効な `cert.pem(自己署名ではない)が必要です。 
    openssl verify -untrusted csc-prod-chain-ONTAP-Mediator.pem -CApath ${OPENSSLDIR} csc-prod-ONTAP-Mediator.pem  # Failure action: The Code-Signature-Check certificate has expired or is invalid. Download a newer version of the ONTAP Mediator.
openssl verify -untrusted tsa-prod-chain-ONTAP-Mediator.pem -CApath ${OPENSSLDIR} tsa-prod-ONTAP-Mediator.pem  # Failure action: The Time-Stamp certificate has expired or is invalid. Download a newer version of the ONTAP Mediator.

  3. 関連する証明書を使用して、 `ontap-mediator-1.11.0.sig.tsr`および `ontap-mediator-1.11.0.tsr`ファイルを検証します:

    OpenSSL 3.x

    openssl ts -verify -data ontap-mediator-1.11.0.sig -in ontap-mediator-1.11.0.sig.tsr -CAfile tsa-prod-chain-ONTAP-Mediator.pem -untrusted tsa-prod-ONTAP-Mediator.pem

    OpenSSL 1.x

    openssl ts -verify -data ontap-mediator-1.11.0 -in ontap-mediator-1.11.0.tsr -CAfile tsa-prod-chain-ONTAP-Mediator.pem -partial_chain

    メモ `.tsr`ファイルには、インストーラに関連付けられたタイムスタンプレスポンスとコード署名が含まれています。処理では、タイムスタンプにTSAの有効な署名があり、入力ファイルが変更されていないことを確認します。検証はマシン上でローカルに実行されます。TSAサーバーにアクセスする必要はありません。

  4. キーに照らして署名を検証します。

    openssl -dgst -verify

    openssl dgst -sha256 -verify ONTAP-Mediator-production.pub -signature ontap-mediator-1.11.0.sig ontap-mediator-1.11.0