メインコンテンツまでスキップ
NetApp adopts Microsoft’s Business-to-Customer (B2C) Identity Management
Effective December 3 - NetApp adopts Microsoft’s Business-to-Customer (B2C) identity management to simplify and provide secure access to NetApp resources. For accounts that did not pre-register (prior to Dec 3) access to your NetApp data may take up to 1 hour as your legacy NSS ID is synchronized to the new B2C identity. To learn more, Read the FAQ and Watch the video. Need assistance? Complete this form and select “Registration Issue” as the Feedback Category. 

ONTAP 9 で自己署名 SSL 証明書を更新する方法

Views:
969
Visibility:
Public
Votes:
1
Category:
ontap-9
Specialty:
core
Last Updated:

環境

  • ONTAP 9.x
  • 自己署名証明書
  • 管理者証明書
  • SVM/Vserver証明書
  • System Manager アクセス

説明

この記事では、 ONTAP を使用して手順 9 ストレージシステムで SSL 自己署名証明書を更新する方法について説明します。デフォルトの証明書は 365 日後に期限切れになります。手順は、任意の SVM / SVM で使用される他の SSL 証明書でも同様です。

System Manager Web サーバにアクセスして HTTPS で管理することができません。

Procedure

期限切れの証明書を削除する前に SSL を無効にしてください(無効にしないと、 2 つの新しい証明書が作成されます)。

ClusterA-01::> ssl modify -vserver ClusterA-01 -server-enabled false

  1. 現在の証明書ステータスを確認します。特権モードを開始します。

ClusterA-01::> set -privilege advanced

  1. 現在設定されている証明書を確認します

ClusterA-01::*> security certificate show

 ClusterA-01::> security certificate show Vserver Serial Number Certificate Name Type ---------- --------------- -------------------------------------- ------------ ClusterA-01 054960C410898A ClusterA-01 server Certificate Authority: ClusterA-01 Expiration Date: Sun Feb 25 20:33:58 2018 svm1 054960C65A30AF svm1 server Certificate Authority: svm1 Expiration Date: Sun Feb 25 20:34:37 2018 
 2 entries were displayed. 

 

  1. SSL で現在使用されている証明書を確認します
 ClusterA-01::> security ssl show Serial Server Client Vserver Number Certificate Name Enabled Enabled --------- ------ --------------------------------------- ------- ------- ClusterA-01 054960C410898A ClusterA-01 true false Certificate Authority: ClusterA-01 svm1 054960C65A30AF svm1 true false Certificate Authority: svm1 2 entries were displayed 
  1. 証明書を更新するには、既存の証明書を削除し、有効期限が長い新しい証明書を作成します。証明書を削除する前に、既存の証明書の詳細を確認してください。これは、新しい証明書の作成時に必要なパラメータを入力するのに役立ちます。

4A 。証明書の共通名を見つけるには、コマンドを実行します 

 cluster1::> security certificate show -vserver cluster1 -common-name 

5. Common_nameクラスタで使用される証明書を更新する場合は、次のコマンドを実行します。 

 security certificate show -instance -vserver cluster1 -common-name cluster1 Vserver: cluster1 Certificate Name: cluster1_160393865E07219D FQDN or Custom Common Name: cluster1 Serial Number of Certificate: 160393865E07219D Certificate Authority: cluster1 Type of Certificate: server Size of Requested Certificate(bits): 2048 Certificate Start Date: Tue Apr 07 15:34:59 2020 Certificate Expiration Date: Wed Apr 07 15:34:59 2021 Public Key Certificate: -----BEGIN CERTIFICATE----- MIIDczCCAlugAwIBAgIIFgOThl4HIZ0wDQYJKoZIhvcNAQELBQAwIDERMA8GA1UE AxMIY2x1c3RlcjExCzAJBgNVBAYTAlVTMB4XDTIwMDQwNzE1MzQ1OVoXDTIxMDQw NzE1MzQ1OVowIDERMA8GA1UEAxMIY2x1c3RlcjExCzAJBgNVBAYTAlVTMIIBIjAN BgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAs4qOgXHMcllzG3QpK0XQE4u02sfO I2Ym6qNxWJx+mf+/fxh0ONc+ybaI6fJn7WJHsIEEsRTbn9Cd4kirkdfgoNFbhrnW orWeYfFwyJWwCFRCTrXj3xNhQyjyoletK7sz9Tz2uvyikwKcBG2Q1lX/n/vjA8E9 wSYj05pDQevtiYEBdTSFGVY8FXzJPYrplIAuUB5+llIKDAHnTQace/lkMga6G067 rTj3Hj13y3i1Djo/VP2X7IGSi0K88rhECcNZw4nYRjxckZ6pzW7xC9pLXCMIOcIZ KuplTHDltPgVvXeCCcBcaCq9dIS/B/2/kvsc5QvvwnDLSz5HLOUrC//MQQIDAQAB o4GwMIGtMAwGA1UdEwEB/wQCMAAwDgYDVR0PAQH/BAQDAgKkMB0GA1UdJQQWMBQG CCsGAQUFBwMBBggrBgEFBQcDAjAdBgNVHQ4EFgQUA4YUbSbgb3r7gqzJqgPowJHk lGMwTwYDVR0jBEgwRoAUA4YUbSbgb3r7gqzJqgPowJHklGOhJKQiMCAxETAPBgNV BAMTCGNsdXN0ZXIxMQswCQYDVQQGEwJVU4IIFgOThl4HIZ0wDQYJKoZIhvcNAQEL BQADggEBALFHP7czS8rICaeQ4zWx4ciZjnUUPUcN9ZvOVLw4DOLngu8gugWJvn8A Sp9J7eVEerFR9sLdLjy7ocqHMqhshyAoDu1nry+me0TIspEfIY3hLXD4SOccXuMk NxrxPb3zCzD3raogfLcAusDaRh0f7x2OTukn55XWZ71KqNnZuEe0Rt5Kh/cmo2Fz C9xU2QHitdcqFAoDRVAL33rOrpyA6v5eZhnnY5JBeUv/rKAh0hmXUMXSiG1TuFeC 0tt5mvvy18hpYLfV/iiFOZN+6do3kBXznxPXlSUUTf0bQwItuL6ypBZjQv1VpzvR UwxCc0pydlDc6JkwhVkn2AKl/F854Fc= -----END CERTIFICATE----- Country Name (2 letter code): US State or Province Name (full name): Locality Name (e.g. city): Organization Name (e.g. company): Organization Unit (e.g. section): Email Address (Contact Name): Protocol: SSL Hashing Function: SHA256 Subtype: - 
  1. 期限切れの証明書を削除します。

ClusterA-01::> security certificate delete -common-name Common_name.cert -ca Common_name.cert -type server -vserver ClusterA-01 -serial 106393865E07219D

 

Warning: Deleting a server certificate will also delete the corresponding
server-chain certificate, if one exists.
Do you want to continue? {y|n}:

重要:証明書を削除すると、 SSL サービスは無効になります。

ClusterA-01::*> ssl show

(security ssl show)
Vserver        Enabled SSL Certificate Name
-------------- ------- -------------------------
cifs           true    cifs.cert
cifs_vs        true    13.cert.1377240681

ClusterA-01     false   -
svm01       true    svm1.cert
svm2        true    svm2.cert
 

  1. 有効期限の長い新しい証明書を作成します

ClusterA-01::> security certificate create -vserver ClusterA-01 -common-name Common_name.cert -size 2048 -type server -country US -expire-days 3650 -hash-function SHA256

  1. 新しく作成した証明書を確認します

ClusterA-01::*> security certificate show -instance -vserver ClusterA-01 -common-name Common_name

 cluster1::> security certificate show -instance -vserver cluster1 -common-name cluster1 Vserver: cluster1 Certificate Name: cluster1_160393865E07219D FQDN or Custom Common Name: cluster1 Serial Number of Certificate: 160393865E07219D Certificate Authority: cluster1 Type of Certificate: server Size of Requested Certificate(bits): 2048 Certificate Start Date: Tue Apr 07 15:34:59 2021 Certificate Expiration Date: Wed Apr 07 15:34:59 2038 Public Key Certificate: -----BEGIN CERTIFICATE----- MIIDczCCAlugAwIBAgIIFgOThl4HIZ0wDQYJKoZIhvcNAQELBQAwIDERMA8GA1UE AxMIY2x1c3RlcjExCzAJBgNVBAYTAlVTMB4XDTIwMDQwNzE1MzQ1OVoXDTIxMDQw NzE1MzQ1OVowIDERMA8GA1UEAxMIY2x1c3RlcjExCzAJBgNVBAYTAlVTMIIBIjAN BgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAs4qOgXHMcllzG3QpK0XQE4u02sfO I2Ym6qNxWJx+mf+/fxh0ONc+ybaI6fJn7WJHsIEEsRTbn9Cd4kirkdfgoNFbhrnW orWeYfFwyJWwCFRCTrXj3xNhQyjyoletK7sz9Tz2uvyikwKcBG2Q1lX/n/vjA8E9 wSYj05pDQevtiYEBdTSFGVY8FXzJPYrplIAuUB5+llIKDAHnTQace/lkMga6G067 rTj3Hj13y3i1Djo/VP2X7IGSi0K88rhECcNZw4nYRjxckZ6pzW7xC9pLXCMIOcIZ KuplTHDltPgVvXeCCcBcaCq9dIS/B/2/kvsc5QvvwnDLSz5HLOUrC//MQQIDAQAB o4GwMIGtMAwGA1UdEwEB/wQCMAAwDgYDVR0PAQH/BAQDAgKkMB0GA1UdJQQWMBQG CCsGAQUFBwMBBggrBgEFBQcDAjAdBgNVHQ4EFgQUA4YUbSbgb3r7gqzJqgPowJHk lGMwTwYDVR0jBEgwRoAUA4YUbSbgb3r7gqzJqgPowJHklGOhJKQiMCAxETAPBgNV BAMTCGNsdXN0ZXIxMQswCQYDVQQGEwJVU4IIFgOThl4HIZ0wDQYJKoZIhvcNAQEL BQADggEBALFHP7czS8rICaeQ4zWx4ciZjnUUPUcN9ZvOVLw4DOLngu8gugWJvn8A Sp9J7eVEerFR9sLdLjy7ocqHMqhshyAoDu1nry+me0TIspEfIY3hLXD4SOccXuMk NxrxPb3zCzD3raogfLcAusDaRh0f7x2OTukn55XWZ71KqNnZuEe0Rt5Kh/cmo2Fz C9xU2QHitdcqFAoDRVAL33rOrpyA6v5eZhnnY5JBeUv/rKAh0hmXUMXSiG1TuFeC 0tt5mvvy18hpYLfV/iiFOZN+6do3kBXznxPXlSUUTf0bQwItuL6ypBZjQv1VpzvR UwxCc0pydlDc6JkwhVkn2AKl/F854Fc= -----END CERTIFICATE----- Country Name (2 letter code): US State or Province Name (full name): Locality Name (e.g. city): Organization Name (e.g. company): Organization Unit (e.g. section): Email Address (Contact Name): Protocol: SSL Hashing Function: SHA256 Subtype: -
  1. 証明書を作成した後でも、 SSL サービスは無効になり、 HTTPS を使用してサービスにアクセスできなくなります。
 ClusterA-01::> ssl show (security ssl show) Serial Server Client Vserver Number Common Name Enabled Enabled --------- ------- ------------- ---------- --------- SCVserver 5527B24F SCVserver.cert false false Certificate Authority: SCVserver.cert SRA 552BA58D SRA.cert true false Certificate Authority: SRA.cert ClusterA-01 55348AB0 ClusterA-01 true false Certificate Authority: ClusterA-01 ClusterA-01 54F7D5D8 ClusterA-01.cert true false Certificate Authority: cm6240c-rtp2-cluster.cert ClusterA-01-01 54F7D5D7 ClusterA-01-01.cert true false Certificate Authority: cm6240c-rtp2-cluster-01.cert ClusterA-01-02 54F7D870 ClusterA-01-02.cert true false Certificate Authority: cm6240c-rtp2-cluster-02.cert 
  1. 新しい証明書の作成後に SSL を有効にします

ClusterA-01::> ssl modify -vserver ClusterA-01 -server-enabled true
(security ssl modify)

メモ:手動で作成した証明書の SVM 名とは異なる名前の SSL を有効にする場合は、その証明書に固有のコマンドを使用する必要があります。

security ssl modify -vserver <vserver_name> -server-enabled true -ca <certificate_authority> -client-enabled false -serial <serial_number> -common-name <common_name>

例:
ClusterA-01::*> security ssl modify -vserver test_cert -server-enabled true -ca test_cert -client-enabled false -serial 535371EBE64C3 -common-name test_cert

Warning: The certificate Common_name.cert is a self-signed certificate, which offers no verification of identity by client machines. This presents the risk of man-in-the-middle attacks by malicious third-parties.
Do you want to continue? {y|n}: y

  1. SSL サービスが有効になっていることを確認します
 ClusterA-01::> ssl show (security ssl show) Serial Server Client Vserver Number Common Name Enabled Enabled --------- ------ --------------- -------- --------- SCVserver 5527B24F SCVserver.cert true false Certificate Authority: SCVserver.cert SRA 552BA58D SRA.cert true false Certificate Authority: SRA.cert ClusterA-01 55348AB0 ClusterA-01 true false Certificate Authority: ClusterA-01 ClusterA-01 54F7D5D8 ClusterA-01.cert true false Certificate Authority: cm6240c-rtp2-cluster.cert ClusterA-01-01 54F7D5D7 ClusterA-01-01.cert true false Certificate Authority: cm6240c-rtp2-cluster-01.cert ClusterA-01-02 54F7D870 ClusterA-01-02.cert true false Certificate Authority: cm6240c-rtp2-cluster-02.cert