Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

產生並安裝CA簽署的伺服器憑證總覽

貢獻者

在正式作業系統上、最佳做法是安裝CA簽署的數位憑證、以用於將叢集或SVM驗證為SSL伺服器。您可以使用 security certificate generate-csr 產生憑證簽署要求( CSR )的命令、以及 security certificate install 命令來安裝您從憑證授權單位收到的憑證。

產生憑證簽署要求

您可以使用 security certificate generate-csr 產生憑證簽署要求( CSR )的命令。在處理您的要求之後、憑證授權單位(CA)會傳送簽署的數位憑證給您。

開始之前

您必須是叢集或SVM管理員、才能執行此工作。

步驟
  1. 產生CSR:

    security certificate generate-csr -common-name FQDN_or_common_name -size 512|1024|1536|2048 -country country -state state -locality locality -organization organization -unit unit -email-addr email_of_contact -hash-function SHA1|SHA256|MD5
    Cli

    下列命令會建立 CSR ,其中包含由雜湊函數產生的 2048 位元私密金鑰 SHA256,供自訂一般名稱為的公司部門 server1.companyname.com`中的群組 `IT`使用 `Software,位於美國加州森尼維爾。SVM 連絡人管理員的電子郵件地址為 web@example.com。系統會在輸出中顯示CSR和私密金鑰。

    建立 CSR 的範例
    cluster1::>security certificate generate-csr -common-name server1.companyname.com -size 2048 -country US -state California -locality Sunnyvale -organization IT -unit Software -email-addr web@example.com -hash-function SHA256
    
    Certificate Signing Request :
    -----BEGIN CERTIFICATE REQUEST-----
    <certificate_value>
    -----END CERTIFICATE REQUEST-----
    
    
    Private Key :
    -----BEGIN RSA PRIVATE KEY-----
    <key_value>
    -----END RSA PRIVATE KEY-----
    
    NOTE: Keep a copy of your certificate request and private key for future reference.
  2. 從CSR輸出複製憑證要求、然後以電子形式(例如電子郵件)將其傳送至信任的協力廠商CA進行簽署。

    在處理您的要求之後、CA會將簽署的數位憑證傳送給您。您應該保留一份私密金鑰和CA簽署的數位憑證複本。

安裝CA簽署的伺服器憑證

您可以使用 security certificate install 在 SVM 上安裝 CA 簽署的伺服器憑證的命令。系統會提示您輸入憑證授權單位(CA)根憑證和中繼憑證、以構成伺服器憑證的憑證鏈結。ONTAP

開始之前

您必須是叢集或SVM管理員、才能執行此工作。

步驟
  1. 安裝 CA 簽署的伺服器憑證:

    security certificate install -vserver SVM_name -type certificate_type
    Cli

    如需完整的命令語法、請參閱 "工作表"

    註

    系統會提示您輸入CA根憑證和中繼憑證、這些憑證構成伺服器憑證的憑證鏈結。ONTAP鏈結從發行伺服器憑證的CA憑證開始、範圍最多可達CA的根憑證。任何遺失的中繼憑證都會導致伺服器憑證安裝失敗。

    以下命令可在 SVM 上安裝 CA 簽署的伺服器憑證和中繼憑證 engData2

    安裝 CA 簽署的伺服器憑證中繼憑證的範例
    cluster1::>security certificate install -vserver engData2 -type server
    Please enter Certificate: Press <Enter> when done
    -----BEGIN CERTIFICATE-----
    <certificate_value>
    -----END CERTIFICATE-----
    
    
    Please enter Private Key: Press <Enter> when done
    -----BEGIN RSA PRIVATE KEY-----
    <key_value>
    -----END RSA PRIVATE KEY-----
    
    Do you want to continue entering root and/or intermediate certificates {y|n}: y
    
    Please enter Intermediate Certificate: Press <Enter> when done
    -----BEGIN CERTIFICATE-----
    <certificate_value>
    -----END CERTIFICATE-----
    
    
    Do you want to continue entering root and/or intermediate certificates {y|n}: y
    
    Please enter Intermediate Certificate: Press <Enter> when done
    -----BEGIN CERTIFICATE-----
    <certificate_value>
    -----END CERTIFICATE-----
    
    
    Do you want to continue entering root and/or intermediate certificates {y|n}: n
    
    You should keep a copy of the private key and the CA-signed digital certificate for future reference.