Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用 OCSP 验证数字证书是否有效

贡献者
PDF

从 ONTAP 9.2 开始,启用联机证书状态协议( Online Certificate Status Protocol , OCSP )后,使用传输层安全( Transport Layer Security , TLS )通信的 ONTAP 应用程序可以接收数字证书状态。您可以随时为特定应用程序启用或禁用 OCSP 证书状态检查。默认情况下, OCSP 证书状态检查处于禁用状态。

您需要的内容

要执行此任务、您需要具有高级权限级别访问权限。

关于此任务

OCSP 支持以下应用程序:

  • AutoSupport

  • 事件管理系统( EMS )

  • 基于 TLS 的 LDAP

  • 密钥管理互操作性协议( KMIP )

  • 审核日志记录

  • FabricPool

  • SSH (从ONTAP 9.13.1开始)

步骤

  1. 将权限级别设置为高级: set -privilege advanced

  2. 要为特定 ONTAP 应用程序启用或禁用 OCSP 证书状态检查,请使用相应的命令。

    某些应用程序的 OCSP 证书状态检查 使用命令 …​

    enabled

    security config ocsp enable -app app name

    已禁用

    security config ocsp disable -app app name

    以下命令可为 AutoSupport 和 EMS 启用 OCSP 支持。

    cluster::*> security config ocsp enable -app asup,ems

    启用 OCSP 后,应用程序将收到以下响应之一:

    • 良好—证书有效,通信继续进行。

    • 已撤销—证书被其颁发证书颁发机构永久视为不可信,通信无法继续。

    • 未知 - 服务器没有任何有关证书的状态信息,通信无法继续。

    • 证书中缺少 OCSP 服务器信息—此服务器就像禁用了 OCSP 一样,并继续进行 TLS 通信,但不会进行状态检查。

    • OCSP 服务器无响应—应用程序无法继续。

  3. 要对使用 TLS 通信的所有应用程序启用或禁用 OCSP 证书状态检查,请使用相应的命令。

    希望所有应用程序的 OCSP 证书状态检查为 …​ 使用命令 …​

    enabled

    security config ocsp enable

    -app all

    已禁用

    security config ocsp disable

    -app all

    启用后,所有应用程序都会收到签名响应,表示指定的证书正常,已撤销或未知。如果证书已被撤销,则应用程序将无法继续。如果应用程序无法从 OCSP 服务器收到响应,或者服务器无法访问,则应用程序将无法继续。

  4. 使用 security config ocsp show 命令以显示支持OCSP的所有应用程序及其支持状态。

    cluster::*> security config ocsp show
         Application                        OCSP Enabled?
         --------------------               ---------------------
         autosupport                        false
         audit_log                          false
         fabricpool                         false
         ems                                false
         kmip                               false
         ldap_ad                            true
         ldap_nis_namemap                   true
         ssh                                true

         8 entries were displayed.