Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

驗證ONTAP 《不實程式碼簽章》

貢獻者 netapp-sarajane netapp-thomi netapp-ranuk netapp-dbagwell
PDF

NetApp建議在安裝前驗證ONTAP Mediator 程式碼簽章。此步驟是可選的。

開始之前

在驗證ONTAP Mediator 程式碼簽署之前,請確保您的系統符合這些要求。

註

  • 自 2025 年 6 月 15 日起,您無法安裝或升級至ONTAP Mediator 1.9 和 1.8,因為代碼簽署驗證憑證已過期。請安裝或升級至ONTAP Mediator 1.11 或 1.10。

  • 如果系統不符合下列要求,則不需要驗證程序,您可以直接前往"安裝ONTAP 《不知道如何安裝》套件"

  • 適用於基本驗證的Openssl版本1.0.2至3.0

  • 適用於時間戳記授權(TSA)作業的OpenSSL 1.1.0版或更新版本

  • 用於OCSP驗證的公共網際網路存取

下載包包含以下文件:

檔案

說明

ONTAP-Mediator-production.pub

用於驗證簽名的公開金鑰

csc-prod-chain-ONTAP-Mediator.pem

公共認證 CA 信任鏈結

csc-prod-ONTAP-Mediator.pem

用於產生金鑰的憑證

ontap-mediator-1.11.0

版本 1.11 的產品安裝執行檔

ontap-mediator-1.11.0.sig

SHA-256 經過雜湊、然後使用 CSC-prod 金鑰簽署 RSA 、以供安裝程式使用

ontap-mediator-1.11.0.sig.tsr

OCSCP 用於安裝程式簽章的撤銷要求

ontap-mediator-1.11.0.tsr

時間戳記簽署要求檔案

tsa-prod-ONTAP-Mediator.pem

TSR 的公開憑證

tsa-prod-chain-ONTAP-Mediator.pem

TSR 的公用憑證 CA 鏈
步驟

  1. 執行撤銷檢查 csc-prod-ONTAP-Mediator.pem 使用線上憑證狀態傳輸協定(OCSP)。

    1. 找到憑證的 OCSP URL。開發者證書可能不提供 URI:

      openssl x509 -noout -ocsp_uri -in csc-prod-chain-ONTAP-Mediator.pem

    2. 為憑證產生OCSP要求。

      openssl ocsp -issuer csc-prod-chain-ONTAP-Mediator.pem -CAfile csc-prod-chain-ONTAP-Mediator.pem -cert csc-prod-ONTAP-Mediator.pem  -reqout req.der

    3. 連線至OCSP管理程式以傳送OCSP要求:

      openssl ocsp -issuer csc-prod-chain-ONTAP-Mediator.pem -CAfile csc-prod-chain-ONTAP-Mediator.pem -cert csc-prod-ONTAP-Mediator.pem  -url ${ocsp_uri} -resp_text -respout resp.der -verify_other csc-prod-chain-ONTAP-Mediator.pem

  2. 針對本機主機驗證其信任鏈結和到期日:

    openssl verify

    註 openssl 路徑的版本必須有效 cert.pem (非自行簽署)。 
    openssl verify -untrusted csc-prod-chain-ONTAP-Mediator.pem -CApath ${OPENSSLDIR} csc-prod-ONTAP-Mediator.pem  # Failure action: The Code-Signature-Check certificate has expired or is invalid. Download a newer version of the ONTAP Mediator.
openssl verify -untrusted tsa-prod-chain-ONTAP-Mediator.pem -CApath ${OPENSSLDIR} tsa-prod-ONTAP-Mediator.pem  # Failure action: The Time-Stamp certificate has expired or is invalid. Download a newer version of the ONTAP Mediator.

  3. 核實 `ontap-mediator-1.11.0.sig.tsr`和 `ontap-mediator-1.11.0.tsr`使用關聯證書的檔案:

    OpenSSL 3.x

    openssl ts -verify -data ontap-mediator-1.11.0.sig -in ontap-mediator-1.11.0.sig.tsr -CAfile tsa-prod-chain-ONTAP-Mediator.pem -untrusted tsa-prod-ONTAP-Mediator.pem

    OpenSSL 1.x

    openssl ts -verify -data ontap-mediator-1.11.0 -in ontap-mediator-1.11.0.tsr -CAfile tsa-prod-chain-ONTAP-Mediator.pem -partial_chain

    註 `.tsr`檔案包含與安裝程式關聯的時間戳記回應和程式碼簽署。處理過程確認時間戳具有 TSA 的有效簽名,且您的輸入檔案未發生變更。您的機器會在本機執行驗證。您無需訪問TSA伺服器。

  4. 根據金鑰驗證簽名:

    openssl -dgst -verify

    openssl dgst -sha256 -verify ONTAP-Mediator-production.pub -signature ontap-mediator-1.11.0.sig ontap-mediator-1.11.0