发行说明
生成并安装 CA 签名的服务器证书概述
建议更改
PDF
在生产系统上,最佳做法是安装 CA 签名的数字证书,以便将集群或 SVM 作为 SSL 服务器进行身份验证。您可以使用 security certificate generate-csr`命令生成证书签名请求(CSR)、并使用 `security certificate install`命令安装从证书颁发机构收到的证书。有关和的 `security certificate install`详细信息 `security certificate generate-csr,请参见"ONTAP 命令参考"。
生成证书签名请求
您可以使用 security certificate generate-csr 用于生成证书签名请求(CSR)的命令。处理请求后,证书颁发机构( CA )会向您发送签名数字证书。
要执行此任务,您必须是集群或 SVM 管理员。
-
生成 CSR
以下命令将使用散列函数生成的2048位专用密钥创建CSR,
SHA256`以供自定义公用名为的公司所在部门的组 `IT`使用 `Software,该公司server1.companyname.com`位于美国加利福尼亚州的桑尼维尔。SVM联系人管理员的电子邮件地址为 `web@example.com。系统将在输出中显示 CSR 和私钥。创建CSR的示例
cluster1::>security certificate generate-csr -common-name server1.companyname.com -size 2048 -country US -state California -locality Sunnyvale -organization IT -unit Software -email-addr web@example.com -hash-function SHA256 Certificate Signing Request : -----BEGIN CERTIFICATE REQUEST----- <certificate_value> -----END CERTIFICATE REQUEST----- Private Key : -----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY----- NOTE: Keep a copy of your certificate request and private key for future reference.
-
复制 CSR 输出中的证书请求,并以电子形式(如电子邮件)将其发送到可信的第三方 CA 进行签名。
处理完您的请求后, CA 会向您发送已签名的数字证书。您应保留一份私钥和 CA 签名数字证书的副本。
安装 CA 签名的服务器证书
您可以使用 security certificate install`命令在SVM上安装CA签名的服务器证书。ONTAP 会提示您输入证书颁发机构( CA )根证书和中间证书,这些证书构成服务器证书的证书链。有关的详细信息 `security certificate install,请参见"ONTAP 命令参考"。
要执行此任务,您必须是集群或 SVM 管理员。
-
安装CA签名的服务器证书:
ONTAP 会提示您输入 CA 根证书和中间证书,以构成服务器证书的证书链。此链从颁发服务器证书的 CA 的证书开始,最多可以包含 CA 的根证书。如果缺少任何中间证书,则会导致服务器证书安装失败。
以下命令将在SVM上安装CA签名的服务器证书和中间证书
engData2。安装CA签名服务器证书中间证书的示例
cluster1::>security certificate install -vserver engData2 -type server Please enter Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- Please enter Private Key: Press <Enter> when done -----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY----- Do you want to continue entering root and/or intermediate certificates {y|n}: y Please enter Intermediate Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- Do you want to continue entering root and/or intermediate certificates {y|n}: y Please enter Intermediate Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- Do you want to continue entering root and/or intermediate certificates {y|n}: n You should keep a copy of the private key and the CA-signed digital certificate for future reference.
