ONTAP S3 対応 SVM に CA 証明書を作成してインストールする
変更を提案
PDF
S3クライアントは、S3対応SVMにHTTPSトラフィックを送信するために、証明機関(CA)証明書を必要とします。CA証明書は、クライアントアプリケーションとONTAPオブジェクトストアサーバの間に信頼関係を構築します。リモートクライアントからアクセス可能なオブジェクトストアとしてONTAPを使用する前に、ONTAPにCA証明書をインストールする必要があります。
HTTPのみを使用するようにS3サーバを設定したり、CA証明書なしでアクセスできるようにクライアントを設定したりすることも可能ですが、ONTAP S3サーバへのHTTPSトラフィックをCA証明書で保護することを推奨します。
IPトラフィックがクラスタLIFのみを経由するローカルでの階層化では、CA証明書は必要ありません。
この手順では、ONTAPの自己署名証明書を作成してインストールします。自己署名証明書はONTAPに生成させることも可能ですが、サードパーティの認証局が発行する署名済み証明書を使用することが推奨されます。詳細については、管理者の認証に関するドキュメントを参照してください。
`security certificate`および追加の構成オプションの詳細については、link:https://docs.netapp.com/us-en/ontap-cli/search.html?q=security+certificate["ONTAPコマンド リファレンス"^]を参照してください。
-
自己署名デジタル証明書を作成します。
security certificate create -vserver svm_name -type root-ca -common-name ca_cert_name`-type root-ca`オプションは、認証局(CA)として機能して他の証明書に署名するための自己署名デジタル証明書を作成してインストールします。
この `-common-name`オプションは、SVMの認証局(CA)名を作成し、証明書の完全な名前を生成するときに使用されます。
証明書のデフォルト サイズは2048ビットです。
例
cluster-1::> security certificate create -vserver svm1.example.com -type root-ca -common-name svm1_ca The certificate's generated name for reference: svm1_ca_159D1587CE21E9D4_svm1_ca
生成された証明書の名前が表示されたら、以降の手順で使用するため記録しておきます。
`security certificate create`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-certificate-create.html["ONTAPコマンド リファレンス"^]をご覧ください。
-
証明書署名要求を生成します。
security certificate generate-csr -common-name s3_server_name [additional_options]署名リクエストの `-common-name`パラメータは、S3サーバー名(FQDN)である必要があります。
必要に応じてSVMの場所やその他の詳細情報を指定できます。
`-dns-name`パラメータは、DNS 名のリストを提供するサブジェクト代替名拡張を指定するために、クライアントによって必要とされることがよくあります。
`-ipaddr`パラメータは、IP アドレスのリストを提供するサブジェクト代替名拡張を指定するために、クライアントによって必要とされることがよくあります。
あとで参照できるように、証明書要求と秘密鍵のコピーを保管しておくように求められます。
`security certificate generate-csr`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-certificate-generate-csr.html["ONTAPコマンド リファレンス"^]をご覧ください。
-
SVM_CAを使用してCSRに署名し、S3サーバの証明書を生成します。
security certificate sign -vserver svm_name -ca ca_cert_name -ca-serial ca_cert_serial_number [additional_options]前の手順で使用したコマンド オプションを入力します。
-
-ca— 手順 1 で入力した CA の共通名。 -
-ca-serial— 手順 1 の CA シリアル番号。たとえば、CA 証明書名が svm1_ca_159D1587CE21E9D4_svm1_ca の場合、シリアル番号は 159D1587CE21E9D4 です。デフォルトでは、署名済み証明書の有効期間は365日です。別の値を選択したり、他の署名の詳細を指定したりできます。
プロンプトが表示されたら、手順2で保存した証明書要求の文字列をコピーして入力します。
署名済み証明書が表示されます。あとで使用できるように保存しておきます。
-
-
S3対応SVMに署名済み証明書をインストールします。
security certificate install -type server -vserver svm_nameプロンプトが表示されたら、証明書と秘密鍵を入力します。
証明書チェーンが必要な場合は、中間証明書を入力できます。
秘密鍵とCA署名デジタル証明書が表示されたら、あとで参照できるように保存します。
-
公開鍵証明書を取得します。
security certificate show -vserver svm_name -common-name ca_cert_name -type root-ca -instanceクライアント側の設定で使用するため、公開鍵証明書を保存しておきます。
例
cluster-1::> security certificate show -vserver svm1.example.com -common-name svm1_ca -type root-ca -instance Name of Vserver: svm1.example.com FQDN or Custom Common Name: svm1_ca Serial Number of Certificate: 159D1587CE21E9D4 Certificate Authority: svm1_ca Type of Certificate: root-ca (DEPRECATED)-Certificate Subtype: - Unique Certificate Name: svm1_ca_159D1587CE21E9D4_svm1_ca Size of Requested Certificate in Bits: 2048 Certificate Start Date: Thu May 09 10:58:39 2020 Certificate Expiration Date: Fri May 08 10:58:39 2021 Public Key Certificate: -----BEGIN CERTIFICATE----- MIIDZ ...== -----END CERTIFICATE----- Country Name: US State or Province Name: Locality Name: Organization Name: Organization Unit: Contact Administrator's Email Address: Protocol: SSL Hashing Function: SHA256 Self-Signed Certificate: true Is System Internal Certificate: false