Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

SVM에서 CA 인증서를 생성하고 설치합니다

기여자

S3 클라이언트에서 S3 기반 SVM으로 HTTPS 트래픽을 활성화하려면 CA(인증 기관) 인증서가 필요합니다. CA 인증서를 사용하면 클라이언트 응용 프로그램과 ONTAP 개체 저장소 서버 간에 신뢰할 수 있는 관계가 만들어집니다. CA 인증서를 원격 클라이언트에서 액세스할 수 있는 개체 저장소로 사용하기 전에 ONTAP에 설치해야 합니다.

이 작업에 대해

S3 서버가 HTTP만 사용하도록 구성할 수 있고 CA 인증서 요구 사항 없이 클라이언트를 구성할 수는 있지만 HTTPS 트래픽을 CA 인증서가 있는 ONTAP S3 서버로 보호하는 것이 가장 좋습니다.

IP 트래픽이 클러스터 LIF만 통과하는 로컬 계층화 사용 사례에는 CA 인증서가 필요하지 않습니다.

이 절차의 지침은 ONTAP 자체 서명 인증서를 만들고 설치합니다. ONTAP에서 자체 서명된 인증서를 생성할 수 있지만 타사 인증 기관에서 서명한 인증서를 사용하는 것이 좋습니다. 자세한 내용은 관리자 인증 설명서를 참조하십시오.

추가 구성 옵션은 보안 인증서 man 페이지를 참조하십시오.

단계
  1. 자체 서명된 디지털 인증서 생성:

    'Security certificate create - vserver_svm_name _ -type root-ca-common-name_ca_cert_name _'

    '-type root-ca' 옵션은 자체 서명된 디지털 인증서를 만들어 설치하여 CA(인증 기관)를 사용하여 다른 인증서에 서명합니다.

    '-common-name' 옵션은 SVM의 CA(인증 기관) 이름을 생성하며 인증서의 전체 이름을 생성할 때 사용됩니다.

    기본 인증서 크기는 2048비트입니다.

    cluster-1::> security certificate create -vserver svm1.example.com -type root-ca -common-name svm1_ca
    
    The certificate's generated name for reference: svm1_ca_159D1587CE21E9D4_svm1_ca

    인증서의 생성된 이름이 표시되면 이 절차의 이후 단계를 위해 저장해야 합니다.

  2. 인증서 서명 요청 생성:

    'Security certificate generate - csr-common-name_s3_server_name_[additional_options]'

    서명 요청의 '-common-name' 매개변수는 S3 서버 이름(FQDN)이어야 합니다.

    필요한 경우 SVM에 대한 위치 및 기타 세부 정보를 제공할 수 있습니다.

    나중에 참조할 수 있도록 인증서 요청과 개인 키의 복사본을 보관하라는 메시지가 표시됩니다.

  3. SVM_CA를 사용하여 CSR에 서명하여 S3 서버의 인증서를 생성합니다.

    '보안 인증서 서명 - vserver_svm_name_-ca_ca_cert_name_-ca-serial_ca_cert_serial_number_[additional_options]'

    이전 단계에서 사용한 명령 옵션을 입력합니다.

    • '-ca' — 1단계에서 입력한 CA의 공통 이름입니다.

    • '-ca-serial' — 1단계의 CA 일련 번호입니다. 예를 들어 CA 인증서 이름이 svm1_ca_159D1587CE21E9D4_svm1_ca인 경우 일련 번호는 159D1587CE21E9D4입니다.

      기본적으로 서명된 인증서는 365일 후에 만료됩니다. 다른 값을 선택하고 다른 서명 세부 정보를 지정할 수 있습니다.

      메시지가 표시되면 2단계에서 저장한 인증서 요청 문자열을 복사하여 입력합니다.

    서명된 인증서가 표시되면 나중에 사용할 수 있도록 저장합니다.

  4. S3 기반 SVM에 서명된 인증서 설치:

    'Security certificate install-type server-vserver_svm_name_'

    메시지가 표시되면 인증서와 개인 키를 입력합니다.

    인증서 체인이 필요한 경우 중간 인증서를 입력할 수 있습니다.

    개인 키와 CA 서명 디지털 인증서가 표시되면 나중에 참조할 수 있도록 저장합니다.

  5. 공개 키 인증서 받기:

    'Security certificate show -vserver_svm_name_-common-name_ca_cert_name_-type root-ca-instance'

    나중에 클라이언트 측 구성을 위해 공개 키 인증서를 저장합니다.

    cluster-1::> security certificate show -vserver svm1.example.com -common-name svm1_ca -type root-ca  -instance
    
                          Name of Vserver: svm1.example.com
               FQDN or Custom Common Name: svm1_ca
             Serial Number of Certificate: 159D1587CE21E9D4
                    Certificate Authority: svm1_ca
                      Type of Certificate: root-ca
         (DEPRECATED)-Certificate Subtype: -
                  Unique Certificate Name: svm1_ca_159D1587CE21E9D4_svm1_ca
    Size of Requested Certificate in Bits: 2048
                   Certificate Start Date: Thu May 09 10:58:39 2020
              Certificate Expiration Date: Fri May 08 10:58:39 2021
                   Public Key Certificate: -----BEGIN CERTIFICATE-----
    MIIDZ ...==
    -----END CERTIFICATE-----
                             Country Name: US
                   State or Province Name:
                            Locality Name:
                        Organization Name:
                        Organization Unit:
    Contact Administrator's Email Address:
                                 Protocol: SSL
                         Hashing Function: SHA256
                  Self-Signed Certificate: true
           Is System Internal Certificate: false