ONTAPクラスタ用のCA署名サーバ証明書をインストールする
変更を提案
PDF
SSLサーバがクラスタまたはStorage Virtual Machine(SVM)をSSLクライアントとして認証できるようにするには、クラスタまたはSVMにクライアント タイプのデジタル証明書をインストールします。次に、SSLサーバ管理者にclient-ca証明書を提供し、サーバにインストールしてもらいます。
`server-ca`証明書タイプを使用して、クラスタまたはSVMにSSLサーバのルート証明書がすでにインストールされている必要があります。
-
クライアント認証に自己署名デジタル証明書を使用するには、 `type client`パラメータを指定して `security certificate create`コマンドを使用します。
`security certificate create`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-certificate-create.html["ONTAPコマンド リファレンス"^]をご覧ください。
-
クライアント認証にCA署名デジタル証明書を使用するには、次の手順を実行します:
-
security certificate `generate-csr`コマンドを使用して、デジタル証明書署名要求(CSR)を生成します。
ONTAP は、証明書要求と秘密キーを含む CSR 出力を表示し、将来の参照用に出力をファイルにコピーするように通知します。
-
CSR 出力からの証明書要求を電子形式(電子メールなど)で信頼できる CA に送信し、署名を依頼します。
将来の参照用に、秘密キーと CA 署名証明書のコピーを保管しておく必要があります。
要求が処理されると、署名済みのデジタル証明書がCAから送信されます。
-
`-type client`パラメータを指定した `security certificate install`コマンドを使用して、CA署名証明書をインストールします。
-
プロンプトが表示されたら証明書と秘密キーを入力し、*Enter*キーを押します。
-
プロンプトが表示されたら追加のルート証明書または中間証明書を入力し、*Enter*キーを押します。
信頼されたルートCAから始まり、お客様に発行されたSSL証明書で終わる証明書チェーンに中間証明書がない場合は、クラスタまたはSVMに中間証明書をインストールします。中間証明書は、エンドエンティティサーバ証明書を発行するために信頼されたルートCAによって発行される従属証明書です。その結果、信頼されたルートCAから始まり、中間証明書を経由して、お客様に発行されたSSL証明書で終わる証明書チェーンが作成されます。
-
-
クラスタまたは SVM の `client-ca`証明書を SSL サーバーの管理者に提供し、サーバーにインストールしてもらいます。
`-instance`および `-type client-ca`パラメータを指定した security certificate show コマンドは、 `client-ca`証明書情報を表示します。