ONTAP S3対応SVMにCA証明書を作成してインストールする
S3クライアントからS3対応SVMへのHTTPSトラフィックを有効にするには、認証局(CA)証明書が必要です。CA証明書を使用すると、クライアントアプリケーションとONTAPオブジェクトストアサーバの間に信頼された関係が作成されます。ONTAPをリモートクライアントからアクセス可能なオブジェクトストアとして使用する前に、CA証明書をインストールしておく必要があります。
HTTPのみを使用するようにS3サーバを設定したり、CA証明書を必要とせずにクライアントを設定したりすることも可能ですが、ONTAP S3サーバへのHTTPSトラフィックをCA証明書で保護することを推奨します。
IPトラフィックがクラスタLIFのみを経由するローカル階層化では、CA証明書は必要ありません。
この手順では、ONTAP自己署名証明書を作成してインストールします。ONTAPでは自己署名証明書を生成できますが、サードパーティの認証局からの署名済み証明書を使用することを推奨します。詳細については、管理者の認証に関するドキュメントを参照してください。
その他の設定オプションについては、マニュアルページを参照して `security certificate`ください。
-
自己署名デジタル証明書を作成します。
security certificate create -vserver svm_name -type root-ca -common-name ca_cert_name
オプションは
-type root-ca
、認証局(CA)として機能して他の証明書に署名するための自己署名デジタル証明書を作成してインストールします。オプションを使用 `-common-name`すると、SVMの認証局(CA)名が作成され、証明書の完全な名前を生成するときに使用されます。
デフォルトの証明書サイズは2048ビットです。
例
cluster-1::> security certificate create -vserver svm1.example.com -type root-ca -common-name svm1_ca The certificate's generated name for reference: svm1_ca_159D1587CE21E9D4_svm1_ca
生成された証明書の名前が表示されたら、以降の手順で使用するために保存しておきます。
-
証明書署名要求を生成します。
security certificate generate-csr -common-name s3_server_name [additional_options]
`-common-name`署名要求のパラメータには、S3サーバ名(FQDN)を指定する必要があります。
必要に応じて、SVMの場所やその他の詳細情報を指定できます。
あとで参照できるように、証明書要求と秘密鍵のコピーを保管するように求められます。
-
SVM_CAを使用してCSRに署名し、S3サーバの証明書を生成します。
security certificate sign -vserver svm_name -ca ca_cert_name -ca-serial ca_cert_serial_number [additional_options]
前の手順で使用したコマンドオプションを入力します。
-
-ca
--ステップ1で入力したCAの共通名。 -
-ca-serial
--ステップ1のCAシリアル番号。たとえば、CA証明書の名前がsvm1_ca_159D1587CE21E9D4_svm1_caの場合、シリアル番号は159D1587CE21E9D4です。デフォルトでは、署名済み証明書の有効期限は365日です。別の値を選択したり、他の署名の詳細を指定したりできます。
プロンプトが表示されたら、手順2で保存した証明書要求文字列をコピーして入力します。
署名済み証明書が表示されます。あとで使用できるように保存しておきます。
-
-
S3対応SVMに署名済み証明書をインストールします。
security certificate install -type server -vserver svm_name
プロンプトが表示されたら、証明書と秘密鍵を入力します。
証明書チェーンが必要な場合は、中間証明書を入力できます。
秘密鍵とCA署名デジタル証明書が表示されたら、あとで参照できるように保存します。
-
公開鍵証明書を取得します。
security certificate show -vserver svm_name -common-name ca_cert_name -type root-ca -instance
クライアント側の設定用に公開鍵証明書を保存しておきます。
例
cluster-1::> security certificate show -vserver svm1.example.com -common-name svm1_ca -type root-ca -instance Name of Vserver: svm1.example.com FQDN or Custom Common Name: svm1_ca Serial Number of Certificate: 159D1587CE21E9D4 Certificate Authority: svm1_ca Type of Certificate: root-ca (DEPRECATED)-Certificate Subtype: - Unique Certificate Name: svm1_ca_159D1587CE21E9D4_svm1_ca Size of Requested Certificate in Bits: 2048 Certificate Start Date: Thu May 09 10:58:39 2020 Certificate Expiration Date: Fri May 08 10:58:39 2021 Public Key Certificate: -----BEGIN CERTIFICATE----- MIIDZ ...== -----END CERTIFICATE----- Country Name: US State or Province Name: Locality Name: Organization Name: Organization Unit: Contact Administrator's Email Address: Protocol: SSL Hashing Function: SHA256 Self-Signed Certificate: true Is System Internal Certificate: false