CA証明書の作成とSVMへのインストール

S3クライアントからS3対応SVMへのHTTPSトラフィックを有効にするには、認証局(CA)証明書が必要です。

タスク概要

HTTPのみを使用するようにS3サーバを設定したり、CA証明書なしでアクセスできるようにクライアントを設定したりすることも可能ですが、ONTAP S3サーバへのHTTPSトラフィックをCA証明書で保護することを推奨します。

IPトラフィックがクラスタLIFのみを経由するローカルでの階層化では、CA証明書は必要ありません。

この手順では、ONTAPの自己署名証明書を作成してインストールします。サードパーティ ベンダーのCA証明書もサポートされています。詳細については、管理者認証のドキュメントを参照してください。

管理者認証とRBAC

追加の設定オプションについては、security certificateのマニュアル ページを参照してください。

手順

  1. 自己署名デジタル証明書を作成します。 security certificate create -vserver svm_name -type root-ca -common-name ca_cert_name

    -type root-caオプションは、CAとして機能することで他の証明書に署名する、自己署名デジタル証明書を作成してインストールします。

    -common-nameは、SVMの認証局(CA)名を指定するオプションで、証明書の完全な名前を生成する場合に使用します。

    証明書のデフォルト サイズは2048ビットです。

    cluster-1::> security certificate create -vserver svm1.example.com -type root-ca -common-name svm1_ca
     
    The certificate's generated name for reference: svm1_ca_159D1587CE21E9D4_svm1_ca
    
    生成された証明書の名前が表示されたら、以降の手順で使用するため記録しておきます。
  2. 証明書署名要求を生成します。 security certificate generate-csr -common-name s3_server_name [additional_options]

    署名要求の-common-nameパラメータには、S3サーバの名前(FQDN)を指定する必要があります。

    必要に応じてSVMの場所やその他の詳細情報を指定できます。

    あとで参照できるように、証明書要求と秘密鍵のコピーを保管しておくように求められます。
  3. SVM_CAを使用してCSRに署名し、S3サーバの証明書を生成します。 security certificate sign -vserver svm_name -ca ca_cert_name -ca-serial ca_cert_serial_number [additional_options]

    前の手順で使用したコマンド オプションを入力します。

    • -ca:手順1で入力したCAの共通名。
    • -ca-serial:手順1で確認したCAのシリアル番号。たとえば、CA証明書の名前がsvm1_ca_159D1587CE21E9D4_svm1_caの場合、シリアル番号は159D1587CE21E9D4です。

    デフォルトでは、署名済み証明書の有効期間は365日です。別の値を選択したり、他の署名の詳細を指定したりできます。

    プロンプトが表示されたら、手順2で保存した証明書要求の文字列をコピーして入力します。

    署名済み証明書が表示されます。あとで使用できるように保存しておきます。
  4. S3対応SVMに署名済み証明書をインストールします。 security certificate install -type server -vserver svm_name

    プロンプトが表示されたら、証明書と秘密鍵を入力します。

    証明書チェーンが必要な場合は、中間証明書を入力できます。

    秘密鍵とCA署名デジタル証明書が表示されたら、あとで参照できるように保存します。
  5. 公開鍵証明書を取得します。 security certificate show -vserver svm_name -common-name ca_cert_name -type root-ca -instance
    クライアント側の設定で使用するため、公開鍵証明書を保存しておきます。
    cluster-1::> security certificate show -vserver svm1.example.com -common-name svm1_ca -type root-ca  -instance
     
                          Name of Vserver: svm1.example.com
               FQDN or Custom Common Name: svm1_ca
             Serial Number of Certificate: 159D1587CE21E9D4
                    Certificate Authority: svm1_ca
                      Type of Certificate: root-ca
         (DEPRECATED)-Certificate Subtype: -
                  Unique Certificate Name: svm1_ca_159D1587CE21E9D4_svm1_ca
    Size of Requested Certificate in Bits: 2048
                   Certificate Start Date: Thu May 09 10:58:39 2020
              Certificate Expiration Date: Fri May 08 10:58:39 2021
                   Public Key Certificate: -----BEGIN CERTIFICATE-----
    MIIDZ ...==
    -----END CERTIFICATE-----
                             Country Name: US
                   State or Province Name:
                            Locality Name:
                        Organization Name:
                        Organization Unit:
    Contact Administrator's Email Address:
                                 Protocol: SSL
                         Hashing Function: SHA256
                  Self-Signed Certificate: true
           Is System Internal Certificate: false