在啟用 ONTAP S3 的 SVM 上建立並安裝 CA 憑證
需要憑證授權單位(CA)憑證、才能啟用從S3用戶端到啟用S3的SVM的HTTPS流量。使用 CA 憑證可在用戶端應用程式和 ONTAP 物件存放區伺服器之間建立信任的關係。在將 CA 憑證作為遠端用戶端可存取的物件存放區之前,應先在 ONTAP 上安裝 CA 憑證。
雖然可以將S3伺服器設定為僅使用HTTP、而且雖然可以設定不需CA憑證的用戶端、但最佳做法是使用ONTAP CA憑證來保護HTTPS流量。
本機分層使用案例不需要CA憑證、因為IP流量只會流經叢集生命體。
本程序中的指示將建立並安裝ONTAP 一個自我簽署的驗證書。雖然 ONTAP 可以產生自我簽署的憑證,但建議最佳做法是使用協力廠商憑證授權單位所簽署的憑證;如需詳細資訊,請參閱系統管理員驗證文件。
請參閱 security certificate
手冊頁以瞭解其他組態選項。
-
建立自我簽署的數位憑證:
security certificate create -vserver svm_name -type root-ca -common-name ca_cert_name
。
-type root-ca
選項會建立及安裝自我簽署的數位憑證、以作為憑證授權單位( CA )來簽署其他憑證。。
-common-name
選項會建立 SVM 的憑證授權單位( CA )名稱、並在產生憑證的完整名稱時使用。預設的憑證大小為2048位元。
範例
cluster-1::> security certificate create -vserver svm1.example.com -type root-ca -common-name svm1_ca The certificate's generated name for reference: svm1_ca_159D1587CE21E9D4_svm1_ca
顯示憑證產生的名稱時、請務必儲存以供此程序的後續步驟使用。
-
產生憑證簽署要求:
security certificate generate-csr -common-name s3_server_name [additional_options]
。
-common-name
簽署要求的參數必須是 S3 伺服器名稱( FQDN )。如有需要、您可以提供SVM的位置和其他詳細資訊。
系統會提示您保留一份憑證要求和私密金鑰、以供日後參考。
-
使用SVM_CA簽署CSR以產生S3伺服器的憑證:
security certificate sign -vserver svm_name -ca ca_cert_name -ca-serial ca_cert_serial_number [additional_options]
輸入您在先前步驟中使用的命令選項:
-
-ca
— 您在步驟 1 中輸入的 CA 的一般名稱。 -
-ca-serial
— 步驟 1 中的 CA 序號。例如、如果CA憑證名稱為svm1_ca _159D1587CE21E9D4_svm1_ca、序號為159D1587CE21E9D4。根據預設、簽署的憑證將於365天內到期。您可以選取其他值、並指定其他簽署詳細資料。
出現提示時、複製並輸入您在步驟2中儲存的憑證要求字串。
隨即顯示已簽署的憑證、請儲存以供日後使用。
-
-
在啟用S3的SVM上安裝簽署的憑證:
security certificate install -type server -vserver svm_name
出現提示時、請輸入憑證和私密金鑰。
如果需要憑證鏈結、您可以選擇輸入中繼憑證。
顯示私密金鑰和CA簽署的數位憑證時、請將其儲存以供日後參考。
-
取得公開金鑰憑證:
security certificate show -vserver svm_name -common-name ca_cert_name -type root-ca -instance
儲存公開金鑰憑證以供稍後的用戶端組態使用。
範例
cluster-1::> security certificate show -vserver svm1.example.com -common-name svm1_ca -type root-ca -instance Name of Vserver: svm1.example.com FQDN or Custom Common Name: svm1_ca Serial Number of Certificate: 159D1587CE21E9D4 Certificate Authority: svm1_ca Type of Certificate: root-ca (DEPRECATED)-Certificate Subtype: - Unique Certificate Name: svm1_ca_159D1587CE21E9D4_svm1_ca Size of Requested Certificate in Bits: 2048 Certificate Start Date: Thu May 09 10:58:39 2020 Certificate Expiration Date: Fri May 08 10:58:39 2021 Public Key Certificate: -----BEGIN CERTIFICATE----- MIIDZ ...== -----END CERTIFICATE----- Country Name: US State or Province Name: Locality Name: Organization Name: Organization Unit: Contact Administrator's Email Address: Protocol: SSL Hashing Function: SHA256 Self-Signed Certificate: true Is System Internal Certificate: false