简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。
替换 SSL 证书
贡献者
建议更改
PDF
所有 SSL 证书都具有到期日期。您必须在证书到期之前对其进行更新,以防止对身份验证密钥的访问丢失。
开始之前
-
您必须已获取集群的替代公有证书和专用密钥( KMIP 客户端证书)。
-
您必须已获取 KMIP 服务器的替代公有证书( KMIP server-ca 证书)。
-
要执行此任务,您必须是集群或 SVM 管理员。
-
如果要在MetroCluster环境中替换KMIP SSL证书、则必须在两个集群上安装相同的替代KMIP SSL证书。
|
在集群上安装证书之前或之后,您可以在 KMIP 服务器上安装替代客户端和服务器证书。 |
步骤
-
安装新的 KMIP server-ca 证书:
security certificate install -type server-ca -vserver <> -
安装新的 KMIP 客户端证书:
security certificate install -type client -vserver <> -
更新密钥管理器配置以使用新安装的证书:
security key-manager external modify -vserver <> -client-cert <> -server-ca-certs <>如果您在MetroCluster 环境中运行ONTAP 9.6或更高版本、并且要修改管理SVM上的密钥管理器配置、则必须在配置中的两个集群上运行命令。
|
|
如果新客户端证书的公共 / 专用密钥与先前安装的密钥不同,则更新密钥管理器配置以使用新安装的证书将返回错误。请参见知识库文章 "新的客户端证书公有 或专用密钥与现有客户端证书不同" 有关如何覆盖此错误的说明。 |