Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

验证ONTAP 调解器代码签名

贡献者 netapp-sarajane netapp-thomi netapp-ranuk netapp-dbagwell
PDF

NetApp建议在安装前验证ONTAP Mediator 代码签名。此步骤为可选步骤。

开始之前

在验证ONTAP Mediator 代码签名之前,请确保您的系统满足这些要求。

备注

  • 自 2025 年 6 月 15 日起,您无法安装或升级到ONTAP Mediator 1.9 和 1.8,因为代码签名验证证书已过期。请改用ONTAP Mediator 1.11 或 1.10 版本。

  • 如果系统不满足以下要求,则不需要进行验证,您可以直接访问"安装 ONTAP 调解器安装包"

  • OpenSSL 1.0.2到3.0版、用于基本验证

  • 适用于时间戳颁发机构(TSA)操作的OpenSSL 1.1.0或更高版本

  • 用于OCSP验证的公有 Internet访问

下载包包含以下文件:

文件

Description

ONTAP-Mediator-production.pub

用于验证签名的公共密钥

csc-prod-chain-ONTAP-Mediator.pem

公共认证CA信任链

csc-prod-ONTAP-Mediator.pem

用于生成密钥的证书

ontap-mediator-1.11.0

版本 1.11 的产品安装可执行文件

ontap-mediator-1.11.0.sig

SHA-256经过哈希处理、然后使用Ccs-prod密钥(安装程序签名)进行RSA签名

ontap-mediator-1.11.0.sig.tsr

OCSCP用于安装程序签名的撤消请求

ontap-mediator-1.11.0.tsr

时间戳签名请求文件

tsa-prod-ONTAP-Mediator.pem

TSR的公共证书

tsa-prod-chain-ONTAP-Mediator.pem

TSR的公共证书CA链
步骤

  1. 对执行撤消检查 csc-prod-ONTAP-Mediator.pem 使用联机证书状态协议(OCSP)。

    1. 找到证书的 OCSP URL。开发者证书可能不提供 URI:

      openssl x509 -noout -ocsp_uri -in csc-prod-chain-ONTAP-Mediator.pem

    2. 生成证书的OCSP请求。

      openssl ocsp -issuer csc-prod-chain-ONTAP-Mediator.pem -CAfile csc-prod-chain-ONTAP-Mediator.pem -cert csc-prod-ONTAP-Mediator.pem  -reqout req.der

    3. 连接到OCSP Manager以发送OCSP请求:

      openssl ocsp -issuer csc-prod-chain-ONTAP-Mediator.pem -CAfile csc-prod-chain-ONTAP-Mediator.pem -cert csc-prod-ONTAP-Mediator.pem  -url ${ocsp_uri} -resp_text -respout resp.der -verify_other csc-prod-chain-ONTAP-Mediator.pem

  2. 验证CSC的信任链以及本地主机的到期日期:

    openssl verify

    备注 openssl 路径中的版本必须有效 cert.pem (非自签名)。 
    openssl verify -untrusted csc-prod-chain-ONTAP-Mediator.pem -CApath ${OPENSSLDIR} csc-prod-ONTAP-Mediator.pem  # Failure action: The Code-Signature-Check certificate has expired or is invalid. Download a newer version of the ONTAP Mediator.
openssl verify -untrusted tsa-prod-chain-ONTAP-Mediator.pem -CApath ${OPENSSLDIR} tsa-prod-ONTAP-Mediator.pem  # Failure action: The Time-Stamp certificate has expired or is invalid. Download a newer version of the ONTAP Mediator.

  3. 核实 `ontap-mediator-1.11.0.sig.tsr`和 `ontap-mediator-1.11.0.tsr`使用关联证书的文件:

    OpenSSL 3.x

    openssl ts -verify -data ontap-mediator-1.11.0.sig -in ontap-mediator-1.11.0.sig.tsr -CAfile tsa-prod-chain-ONTAP-Mediator.pem -untrusted tsa-prod-ONTAP-Mediator.pem

    OpenSSL 1.x

    openssl ts -verify -data ontap-mediator-1.11.0 -in ontap-mediator-1.11.0.tsr -CAfile tsa-prod-chain-ONTAP-Mediator.pem -partial_chain

    备注 `.tsr`文件包含与安装程序关联的时间戳响应和代码签名。处理过程确认时间戳具有 TSA 的有效签名,并且您的输入文件未发生更改。您的机器会在本地执行验证。您无需访问TSA服务器。

  4. 根据密钥验证签名:

    openssl -dgst -verify

    openssl dgst -sha256 -verify ONTAP-Mediator-production.pub -signature ontap-mediator-1.11.0.sig ontap-mediator-1.11.0