本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

使用 TLS 搭配 NFS 以增強安全性的總覽

10/30/2024 貢獻者

相較於 Kerberos 和 IPsec 、 TLS 能以同等安全性和較低複雜度來實現加密網路通訊。身為系統管理員、您可以使用系統管理員、 ONTAP CLI 或 ONTAP REST API 、啟用、設定及停用 TLS 、以增強 NFSv3 和 NFSv4.x 連線的安全性。

9.15.1 提供 ONTAP over TLS 的公開預覽功能。ONTAP 9.15.1 的正式作業工作負載不支援 NFS over TLS 作為預覽產品。

ONTAP 使用 TLS 1.3 for NFS over TLS 連線。

需求

NFS over TLS 需要 X.509 憑證。您可以在 ONTAP 叢集上建立並安裝 CA 簽署的伺服器憑證、也可以安裝 NFS 服務直接使用的憑證。您的憑證應符合下列準則：

每個憑證的一般名稱（ CN ）都必須使用將啟用 TLS 的資料 LIF 的完整網域名稱（ FQDN ）進行設定。
每個憑證的主體替代名稱（ SAN ）都必須使用資料 LIF 的 IP 位址進行設定、以啟用 TLS 。您可以選擇性地使用資料 LIF 的 IP 位址和 FQDN 來設定 SAN 。如果同時設定 IP 位址和 FQDN 、 NFS 用戶端就可以使用 IP 位址或 FQDN 進行連線。
您可以為同一個 LIF 安裝多個 NFS 服務憑證、但一次只能使用其中一個憑證作為 NFS TLS 組態的一部分。