Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPメディエーターコード署名の確認

共同作成者 netapp-sarajane netapp-thomi netapp-ranuk netapp-dbagwell
PDF

NetApp、インストール前にONTAP Mediator のコード署名を確認することを推奨しています。この手順はオプションです。

開始する前に

ONTAP Mediator コード署名を検証する前に、システムがこれらの要件を満たしていることを確認してください。

メモ

  • 2025年6月15日以降、コード署名検証証明書の有効期限が切れているため、 ONTAP Mediator 1.9および1.8のインストールまたはアップグレードはできません。代わりに、 ONTAP Mediator 1.11 または 1.10 をインストールするか、アップグレードしてください。

  • システムが以下の要件を満たしていない場合は、検証プロセスは必要なく、に直接移動できます。"ONTAPメディエーターインストールパッケージのインストール"

  • OpenSSLバージョン1.0.2~3.0(基本検証用)

  • タイムスタンプ局(TSA)操作用のOpenSSLバージョン1.1.0以降

  • OCSP検証のためのパブリックインターネットアクセス

ダウンロード パッケージには次のファイルが含まれています。

ファイル

説明

ONTAP-Mediator-production.pub

署名の検証に使用される公開鍵

csc-prod-chain-ONTAP-Mediator.pem

パブリック証明書CAの信頼チェーン

csc-prod-ONTAP-Mediator.pem

キーの生成に使用する証明書

ontap-mediator-1.11.0

バージョン 1.11 の製品インストール実行ファイル

ontap-mediator-1.11.0.sig

SHA-256はハッシュ化され、CSC-prodキーを使用してRSA署名されます(インストーラの署名)。

ontap-mediator-1.11.0.sig.tsr

OCSCPがインストーラの署名に使用する失効要求

ontap-mediator-1.11.0.tsr

タイムスタンプ署名要求ファイル

tsa-prod-ONTAP-Mediator.pem

TSRのパブリック証明書

tsa-prod-chain-ONTAP-Mediator.pem

TSRのパブリック証明書CAチェーン
手順

  1. Online Certificate Status Protocol(OCSP)を使用して、で失効チェックを実行します csc-prod-ONTAP-Mediator.pem

    1. 証明書の OCSP URL を見つけます。開発者証明書では URI が提供されない場合があります。

      openssl x509 -noout -ocsp_uri -in csc-prod-chain-ONTAP-Mediator.pem

    2. 証明書のOCSP要求を生成します。

      openssl ocsp -issuer csc-prod-chain-ONTAP-Mediator.pem -CAfile csc-prod-chain-ONTAP-Mediator.pem -cert csc-prod-ONTAP-Mediator.pem  -reqout req.der

    3. OCSP Managerに接続してOCSP要求を送信します。

      openssl ocsp -issuer csc-prod-chain-ONTAP-Mediator.pem -CAfile csc-prod-chain-ONTAP-Mediator.pem -cert csc-prod-ONTAP-Mediator.pem  -url ${ocsp_uri} -resp_text -respout resp.der -verify_other csc-prod-chain-ONTAP-Mediator.pem

  2. CSCの信頼チェーンと有効期限をローカルホストと照合して確認します。

    openssl verify

    メモ openssl`パスのバージョンは有効な(自己署名ではない)必要があります `cert.pem 
    openssl verify -untrusted csc-prod-chain-ONTAP-Mediator.pem -CApath ${OPENSSLDIR} csc-prod-ONTAP-Mediator.pem  # Failure action: The Code-Signature-Check certificate has expired or is invalid. Download a newer version of the ONTAP Mediator.
openssl verify -untrusted tsa-prod-chain-ONTAP-Mediator.pem -CApath ${OPENSSLDIR} tsa-prod-ONTAP-Mediator.pem  # Failure action: The Time-Stamp certificate has expired or is invalid. Download a newer version of the ONTAP Mediator.

  3. 確認する `ontap-mediator-1.11.0.sig.tsr`そして `ontap-mediator-1.11.0.tsr`関連する証明書を使用するファイル:

    OpenSSL 3.x

    openssl ts -verify -data ontap-mediator-1.11.0.sig -in ontap-mediator-1.11.0.sig.tsr -CAfile tsa-prod-chain-ONTAP-Mediator.pem -untrusted tsa-prod-ONTAP-Mediator.pem

    OpenSSL 1.x

    openssl ts -verify -data ontap-mediator-1.11.0 -in ontap-mediator-1.11.0.tsr -CAfile tsa-prod-chain-ONTAP-Mediator.pem -partial_chain

    メモ `.tsr`ファイルには、インストーラーに関連付けられたタイムスタンプ応答とコード署名が含まれています。タイムスタンプにTSAからの有効な署名があり、入力ファイルが変更されていないことが確認されます。マシンはローカルで検証を実行します。 TSA サーバーにアクセスする必要はありません。

  4. キーに対する署名を確認します。

    openssl -dgst -verify

    openssl dgst -sha256 -verify ONTAP-Mediator-production.pub -signature ontap-mediator-1.11.0.sig ontap-mediator-1.11.0