Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在 SVM 上创建并安装 CA 证书

贡献者
PDF

要启用从 S3 客户端到启用了 S3 的 SVM 的 HTTPS 流量,需要证书颁发机构( CA )证书。使用CA证书可在客户端应用程序和ONTAP对象存储服务器之间创建可信关系。在将CA证书用作远程客户端可访问的对象存储之前、应先将其安装在ONTAP上。

关于此任务

虽然可以将 S3 服务器配置为仅使用 HTTP ,并且可以在不要求 CA 证书的情况下配置客户端,但最佳做法是使用 CA 证书保护发送到 ONTAP S3 服务器的 HTTPS 流量。

在本地分层使用情形中, IP 流量仅通过集群 LIF 时,不需要 CA 证书。

此操作步骤中的说明将创建并安装 ONTAP 自签名证书。虽然ONTAP可以生成自签名证书、但建议的最佳实践是使用第三方证书颁发机构颁发的签名证书。;有关详细信息、请参见管理员身份验证文档。

"管理员身份验证和 RBAC"

请参见 security certificate 其他配置选项的手册页。

步骤

  1. 创建自签名数字证书:

    security certificate create -vserver svm_name -type root-ca -common-name ca_cert_name

    -type root-ca 选项用于创建并安装自签名数字证书、以便通过充当证书颁发机构(CA)对其他证书进行签名。

    -common-name 选项将创建SVM的证书颁发机构(Certificate Authority、CA)名称、并在生成证书的完整名称时使用。

    默认证书大小为 2048 位。

    示例

    cluster-1::> security certificate create -vserver svm1.example.com -type root-ca -common-name svm1_ca

The certificate's generated name for reference: svm1_ca_159D1587CE21E9D4_svm1_ca

    显示证书的生成名称时,请务必保存此证书,以供此操作步骤中稍后的步骤使用。

  2. 生成证书签名请求:

    security certificate generate-csr -common-name s3_server_name [additional_options]

    -common-name 签名请求的参数必须是S3服务器名称(FQDN)。

    如果需要,您可以提供 SVM 的位置和其他详细信息。

    系统会提示您保留证书请求和私钥的副本,以供日后参考。

  3. 使用 SVM_CA 对 CSR 签名以生成 S3 服务器的证书:

    security certificate sign -vserver svm_name -ca ca_cert_name -ca-serial ca_cert_serial_number [additional_options]

    输入您在先前步骤中使用的命令选项:

    • -ca --您在步骤1中输入的CA的公用名。

    • -ca-serial --步骤1中的CA序列号。例如,如果 CA 证书名称为 svm1_ca_159D1587CE21E9D4_svm1_ca ,则序列号为 159D1587CE21E9d4 。

      默认情况下,签名证书将在 365 天后过期。您可以选择其他值并指定其他签名详细信息。

      出现提示时,复制并输入您在步骤 2 中保存的证书请求字符串。

    此时将显示一个签名证书;请保存此证书以供日后使用。

  4. 在启用了 S3 的 SVM 上安装签名证书:

    security certificate install -type server -vserver svm_name

    出现提示时,输入证书和专用密钥。

    如果需要证书链,您可以选择输入中间证书。

    显示私钥和 CA 签名的数字证书时,请保存它们以供将来参考。

  5. 获取公有密钥证书:

    security certificate show -vserver svm_name -common-name ca_cert_name -type root-ca -instance

    保存公有密钥证书以供稍后的客户端配置使用。

    示例

    cluster-1::> security certificate show -vserver svm1.example.com -common-name svm1_ca -type root-ca  -instance

                      Name of Vserver: svm1.example.com
           FQDN or Custom Common Name: svm1_ca
         Serial Number of Certificate: 159D1587CE21E9D4
                Certificate Authority: svm1_ca
                  Type of Certificate: root-ca
     (DEPRECATED)-Certificate Subtype: -
              Unique Certificate Name: svm1_ca_159D1587CE21E9D4_svm1_ca
Size of Requested Certificate in Bits: 2048
               Certificate Start Date: Thu May 09 10:58:39 2020
          Certificate Expiration Date: Fri May 08 10:58:39 2021
               Public Key Certificate: -----BEGIN CERTIFICATE-----
MIIDZ ...==
-----END CERTIFICATE-----
                         Country Name: US
               State or Province Name:
                        Locality Name:
                    Organization Name:
                    Organization Unit:
Contact Administrator's Email Address:
                             Protocol: SSL
                     Hashing Function: SHA256
              Self-Signed Certificate: true
       Is System Internal Certificate: false