產生並安裝CA簽署的伺服器憑證總覽
在正式作業系統上、最佳做法是安裝CA簽署的數位憑證、以用於將叢集或SVM驗證為SSL伺服器。您可以使用 security certificate generate-csr
產生憑證簽署要求( CSR )的命令、以及 security certificate install
命令來安裝您從憑證授權單位收到的憑證。
產生憑證簽署要求
您可以使用 security certificate generate-csr
產生憑證簽署要求( CSR )的命令。在處理您的要求之後、憑證授權單位(CA)會傳送簽署的數位憑證給您。
您必須是叢集或SVM管理員、才能執行此工作。
-
產生CSR:
下列命令會建立 CSR ,其中包含由雜湊函數產生的 2048 位元私密金鑰
SHA256
,供自訂一般名稱為的公司部門server1.companyname.com`中的群組 `IT`使用 `Software
,位於美國加州森尼維爾。SVM 連絡人管理員的電子郵件地址為web@example.com
。系統會在輸出中顯示CSR和私密金鑰。建立 CSR 的範例
cluster1::>security certificate generate-csr -common-name server1.companyname.com -size 2048 -country US -state California -locality Sunnyvale -organization IT -unit Software -email-addr web@example.com -hash-function SHA256 Certificate Signing Request : -----BEGIN CERTIFICATE REQUEST----- <certificate_value> -----END CERTIFICATE REQUEST----- Private Key : -----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY----- NOTE: Keep a copy of your certificate request and private key for future reference.
-
從CSR輸出複製憑證要求、然後以電子形式(例如電子郵件)將其傳送至信任的協力廠商CA進行簽署。
在處理您的要求之後、CA會將簽署的數位憑證傳送給您。您應該保留一份私密金鑰和CA簽署的數位憑證複本。
安裝CA簽署的伺服器憑證
您可以使用 security certificate install
在 SVM 上安裝 CA 簽署的伺服器憑證的命令。系統會提示您輸入憑證授權單位(CA)根憑證和中繼憑證、以構成伺服器憑證的憑證鏈結。ONTAP
您必須是叢集或SVM管理員、才能執行此工作。
-
安裝 CA 簽署的伺服器憑證:
如需完整的命令語法、請參閱 "工作表"。
系統會提示您輸入CA根憑證和中繼憑證、這些憑證構成伺服器憑證的憑證鏈結。ONTAP鏈結從發行伺服器憑證的CA憑證開始、範圍最多可達CA的根憑證。任何遺失的中繼憑證都會導致伺服器憑證安裝失敗。
以下命令可在 SVM 上安裝 CA 簽署的伺服器憑證和中繼憑證
engData2
。安裝 CA 簽署的伺服器憑證中繼憑證的範例
cluster1::>security certificate install -vserver engData2 -type server Please enter Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- Please enter Private Key: Press <Enter> when done -----BEGIN RSA PRIVATE KEY----- <key_value> -----END RSA PRIVATE KEY----- Do you want to continue entering root and/or intermediate certificates {y|n}: y Please enter Intermediate Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- Do you want to continue entering root and/or intermediate certificates {y|n}: y Please enter Intermediate Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- Do you want to continue entering root and/or intermediate certificates {y|n}: n You should keep a copy of the private key and the CA-signed digital certificate for future reference.