有关配置 FPolicy 外部引擎以使用 SSL 验证连接的其他信息

如果要将 FPolicy 外部引擎配置为在连接到 FPolicy 服务器时使用 SSL ,则需要了解一些其他信息。

SSL 服务器身份验证

如果选择为 SSL 服务器身份验证配置 FPolicy 外部引擎、则在创建外部引擎之前,必须安装签署 FPolicy 服务器证书的证书颁发机构 (CA) 的公共证书。

相互身份验证

如果在Storage Virtual Machine (SVM)创建外部引擎之前将 FPolicy 外部引擎配置为在将存储虚拟机( SVM )数据 LIF 连接到外部 FPolicy 服务器时使用 SSL 相互身份验证、 必须安装签署 FPolicy Server 证书的 CA 的公共证书以及用于验证SVM。当任何 FPolicy 策略使用已安装的证书时,不得删除此证书。

如果在 FPolicy 连接到外部 FPolicy 服务器时将证书用于相互身份验证时删除证书,则无法重新启用使用该证书的已禁用 FPolicy 策略。即使在SVM,也无法在此情况下重新启用 FPolicy 策略。

如果证书已删除、则需要安装新证书、创建使用新证书的新 FPolicy 外部引擎、并通过修改 FPolicy 策略将新的外部引擎与要重新启用的 FPolicy 策略相关联。

如何安装 SSL 证书

用于签署 FPolicy Server 证书的 CA 的公共证书是通过使用security certificate install命令安装的、且 -type 参数设置为 client_CASVMsecurity certificate install使用将 -type 参数设置为 server 的命令安装用于验证 SVM 的私钥和公共证书