クラスタの証明書署名要求の作成

Certificate Signing Request(CSR;証明書署名要求)を生成するには、セキュリティ証明書のgenerate-csrコマンドを使用します。要求が処理されると、署名済みのデジタル証明書がCertificate Authority(CA;認証局)から返信されます。

開始する前に

このタスクを実行するには、クラスタ管理者またはSVM管理者である必要があります。

手順

  1. CSRを生成します。 security certificate generate-csr -common-name FQDN_or_common_name -size 512|1024|1536|2048 -country country -state state -locality locality -organization organization -unit unit -email-addr email_of_contact -hash-function SHA1|SHA256|MD5

    コマンド構文全体については、マニュアル ページを参照してください。

    次のコマンドは、SHA256ハッシュ関数で生成される2,048ビット秘密鍵を使用して、CSRを作成します。この証明書は、米国カリフォルニア州のサニーベールにある企業(カスタム共通名server1.companyname.com)のIT部門のソフトウェア グループが使用します。SVM担当管理者のEメール アドレスはweb@example.comです。出力にはCSRと秘密鍵が表示されます。
    cluster1::>security certificate generate-csr -common-name
    server1.companyname.com -size 2048 -country US -state California -
    locality Sunnyvale -organization IT -unit Software -email-addr
    web@example.com -hash-function SHA256
    Certificate Signing Request :
    -----BEGIN CERTIFICATE REQUEST-----
    MIIBGjCBxQIBADBgMRQwEgYDVQQDEwtleGFtcGxlLmNvbTELMAkGA1UEBhMCVVMx
    CTAHBgNVBAgTADEJMAcGA1UEBxMAMQkwBwYDVQQKEwAxCTAHBgNVBAsTADEPMA0G
    CSqGSIb3DQEJARYAMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAPXFanNoJApT1nzS
    xOcxixqImRRGZCR7tVmTYyqPSuTvfhVtwDJbmXuj6U3a1woUsb13wfEvQnHVFNci
    2ninsJ8CAwEAAaAAMA0GCSqGSIb3DQEBCwUAA0EA6EagLfso5+4g+ejiRKKTUPQO
    UqOUEoKuvxhOvPC2w7b//fNSFsFHvXloqEOhYECn/NX9h8mbphCoM5YZ4OfnKw==
    -----END CERTIFICATE REQUEST-----
    Private Key :
    24 | Administrator Authentication and RBAC Power Guide
    -----BEGIN RSA PRIVATE KEY-----
    MIIBOwIBAAJBAPXFanNoJApT1nzSxOcxixqImRRGZCR7tVmTYyqPSuTvfhVtwDJb
    mXuj6U3a1woUsb13wfEvQnHVFNci2ninsJ8CAwEAAQJAWt2AO+bW3FKezEuIrQlu
    KoMyRYK455wtMk8BrOyJfhYsB20B28eifjJvRWdTOBEav99M7cEzgPv+p5kaZTTM
    gQIhAPsp+j1hrUXSRj979LIJJY0sNez397i7ViFXWQScx/ehAiEA+oDbOooWlVvu
    xj4aitxVBu6ByVckYU8LbsfeRNsZwD8CIQCbZ1/ENvmlJ/P7N9Exj2NCtEYxd0Q5
    cwBZ5NfZeMBpwQIhAPk0KWQSLadGfsKO077itF+h9FGFNHbtuNTrVq4vPW3nAiAA
    peMBQgEv28y2r8D4dkYzxcXmjzJluUSZSZ9c/wS6fA==
    -----END RSA PRIVATE KEY-----
    Note: Please keep a copy of your certificate request and private key
    for future reference.
  2. CSR出力の証明書要求をデジタル形式(Eメールなど)で信頼できるサードパーティのCAに送信し、署名を求めます。
    要求が処理されると、署名済みのデジタル証明書がCAから返信されます。秘密鍵とCA署名デジタル証明書のコピーは保管する必要があります。