简体中文版经机器翻译而成，仅供参考。如与英语版出现任何冲突，应以英语版为准。

概述如何将TLS与NFS结合使用以增强安全性

10/30/2024 贡献者

TLS支持加密网络通信、安全性与Kerberos和IPsec相当、复杂性比Kerberos和IPsec低。作为管理员、您可以使用System Manager、ONTAP命令行界面或ONTAP REST API启用、配置和禁用TLS、以增强NFSv3和NFSv4.x连接的安全性。

基于TLS的NFS在ONTAP 9.151中提供公开预览版。作为预览选项、ONTAP 9.15.1中的生产工作负载不支持基于TLS的NFS。

ONTAP对基于TLS的NFS连接使用TLS 1.3。

要求

基于TLS的NFS需要X.509证书。您可以在ONTAP集群上创建并安装CA签名的服务器证书、也可以安装NFS服务直接使用的证书。您的证书应符合以下准则：

必须为每个证书的公用名(Common Name、CN)配置要启用TLS的数据LIF的完全限定域名(FQDN)。
必须为每个证书的使用者替代名称(SAN)配置要启用TLS的数据LIF的IP地址。您可以选择为SAN配置数据LIF的IP地址和FQDN。如果同时配置了IP地址和FQDN、则NFS客户端可以使用IP地址或FQDN进行连接。
您可以为同一个LIF安装多个NFS服务证书、但在NFS TLS配置中、一次只能使用其中一个证书。