Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在 SVM 上创建并安装 CA 证书

贡献者

要启用从 S3 客户端到启用了 S3 的 SVM 的 HTTPS 流量,需要证书颁发机构( CA )证书。

关于此任务

虽然可以将 S3 服务器配置为仅使用 HTTP ,并且可以在不要求 CA 证书的情况下配置客户端,但最佳做法是使用 CA 证书保护发送到 ONTAP S3 服务器的 HTTPS 流量。

在本地分层使用情形中, IP 流量仅通过集群 LIF 时,不需要 CA 证书。

此操作步骤中的说明将创建并安装 ONTAP 自签名证书。此外,还支持来自第三方供应商的 CA 证书;有关详细信息,请参见管理员身份验证文档。

请参见 security certificate 其他配置选项的手册页。

步骤
  1. 创建自签名数字证书:

    security certificate create -vserver svm_name -type root-ca -common-name ca_cert_name

    -type root-ca 选项用于创建并安装自签名数字证书、以便通过充当证书颁发机构(CA)对其他证书进行签名。

    -common-name 选项将创建SVM的证书颁发机构(Certificate Authority、CA)名称、并在生成证书的完整名称时使用。

    默认证书大小为 2048 位。

    示例

    cluster-1::> security certificate create -vserver svm1.example.com -type root-ca -common-name svm1_ca
    
    The certificate's generated name for reference: svm1_ca_159D1587CE21E9D4_svm1_ca

    显示证书的生成名称时,请务必保存此证书,以供此操作步骤中稍后的步骤使用。

  2. 生成证书签名请求:

    security certificate generate-csr -common-name s3_server_name [additional_options]

    -common-name 签名请求的参数必须是S3服务器名称(FQDN)。

    如果需要,您可以提供 SVM 的位置和其他详细信息。

    系统会提示您保留证书请求和私钥的副本,以供日后参考。

  3. 使用 SVM_CA 对 CSR 签名以生成 S3 服务器的证书:

    security certificate sign -vserver svm_name -ca ca_cert_name -ca-serial ca_cert_serial_number [additional_options]

    输入您在先前步骤中使用的命令选项:

    • -ca --您在步骤1中输入的CA的公用名。

    • -ca-serial --步骤1中的CA序列号。例如,如果 CA 证书名称为 svm1_ca_159D1587CE21E9D4_svm1_ca ,则序列号为 159D1587CE21E9d4 。

      默认情况下,签名证书将在 365 天后过期。您可以选择其他值并指定其他签名详细信息。

      出现提示时,复制并输入您在步骤 2 中保存的证书请求字符串。

    此时将显示一个签名证书;请保存此证书以供日后使用。

  4. 在启用了 S3 的 SVM 上安装签名证书:

    security certificate install -type server -vserver svm_name

    出现提示时,输入证书和专用密钥。

    如果需要证书链,您可以选择输入中间证书。

    显示私钥和 CA 签名的数字证书时,请保存它们以供将来参考。

  5. 获取公有密钥证书:

    security certificate show -vserver svm_name -common-name ca_cert_name -type root-ca -instance

    保存公有密钥证书以供稍后的客户端配置使用。

    示例

    cluster-1::> security certificate show -vserver svm1.example.com -common-name svm1_ca -type root-ca  -instance
    
                          Name of Vserver: svm1.example.com
               FQDN or Custom Common Name: svm1_ca
             Serial Number of Certificate: 159D1587CE21E9D4
                    Certificate Authority: svm1_ca
                      Type of Certificate: root-ca
         (DEPRECATED)-Certificate Subtype: -
                  Unique Certificate Name: svm1_ca_159D1587CE21E9D4_svm1_ca
    Size of Requested Certificate in Bits: 2048
                   Certificate Start Date: Thu May 09 10:58:39 2020
              Certificate Expiration Date: Fri May 08 10:58:39 2021
                   Public Key Certificate: -----BEGIN CERTIFICATE-----
    MIIDZ ...==
    -----END CERTIFICATE-----
                             Country Name: US
                   State or Province Name:
                            Locality Name:
                        Organization Name:
                        Organization Unit:
    Contact Administrator's Email Address:
                                 Protocol: SSL
                         Hashing Function: SHA256
                  Self-Signed Certificate: true
           Is System Internal Certificate: false