メインコンテンツまでスキップ

NetApp_Insight_2020.png 

ONTAP の証明書信頼ストアについて教えてください。

Views:
63
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
core
Last Updated:

に適用されます

  • ONTAP 9
  • AutoSupport

回答

証明書信頼ストアとは

ONTAP 9.2 以降では、 ONTAP の「証明書管理」で信頼できるルート CA 証明書のセットが導入されました。これにより、管理 SVM を使用して、 ONTAP で実行されているアプリケーションが外部エンティティへの TLS 接続をシームレスに確立できるようになりました。各証明書には有効期限が関連付けられています。 

信頼ストア証明書はいつインストールされますか。

トラストストア証明書は、 ONTAP 9.2 のインストール時、または ONTAP 9.2 へのアップグレード時に、管理 SVM にのみインストールされます。

インストールされている信頼ストア証明書を表示するにはどうすればよいですか。

security certificate show コマンドを使用すると、管理 SVM にインストールされている信頼ストア証明書を表示できます。security certificate show -vserver * -type server-ca

security certificate show -vserver * -type server-ca:は、ユーザがインストールした証明書と信頼ストア証明書の両方を表示します。 ONTAP 9.4 以降でsecurity certificate show-truststore は、デフォルトの信頼ストア証明書のみを表示できます。

ONTAP 9ドキュメント センター

信頼ストア証明書の有効期限が切れた場合はどうなりますか。

信頼ストア証明書の有効期限が切れた場合は、証明書を削除するか、そのままにしておくかを選択できます。トラストストア証明書は、 ONTAP の各リリースの一部として、必要に応じて自動的に更新されます。
これについては、バグ 1245418 でも説明されています。

EMS は以下を報告します

有効期限の 30 日前から:

例:
Tue Jul 09 00:00:01 CEST [node-name: mgwd: mgmtgwd.certificate.expiring:error]: A digital certificate with Fully Qualified Domain Name (FQDN) UTN-USERFirst-Hardware, Serial Number 44BE0C8B500024B411D3362AFE650AFD, Certificate Authority 'UTN-USERFirst-Hardware' and type server-ca for Vserver ADMIN-SVM will expire in the next 0 day(s).

現在、 3 つの証明書があり、 2019 年 7 月時点で失効しています。これらの信頼ストア証明書は、ネットアップが確認したもので、安全に削除できます。 

Name of Vserver Netapp1
FQDN or Custom Common Name Class2PrimaryCA
Serial Number of Certificate 85BD4BF3D8DAE369F694D75FC3A54423
Certificate Authority Class 2 Primary CA
Type of Certificate server-ca
Certificate Expiration Date Sat Jul 06 18:59:59 2019
Protocol SSL
Hashing Function SHA1
 
Name of Vserver Netapp1
FQDN or Custom Common Name DeutscheTelekomRootCA2
Serial Number of Certificate 26
Certificate Authority Deutsche Telekom Root CA 2
Type of Certificate server-ca
Certificate Expiration Date Tue Jul 09 18:59:00 2019
Protocol SSL
Hashing Function SHA1
 
Name of Vserver Netapp1
FQDN or Custom Common Name UTN-USERFirst-Hardware
Serial Number of Certificate 44BE0C8B500024B411D3362AFE650AFD
Certificate Authority UTN-USERFirst-Hardware
Type of Certificate server-ca
Certificate Expiration Date Tue Jul 09 13:19:22 2019
Protocol SSL
Hashing Function SHA1

バグの回避策に従って、次'security certificate delete'
のコマンド例を使用して証明書を削除します。
::>security certificate delete -vserver -common-name Class2PrimaryCA -type server-ca -ca "Class 2 Primary CA" -serial will complete the serial number
 ::>security certificate delete -vserver -common-name Class2PrimaryCA -type server-ca -ca "Class 2 Primary CA" -serial 5BD4BF3D8DAE369F694D75FC3A54423

信頼ストア証明書を削除するとどうなりますか。

ほとんどの場合、期限切れの証明書が使用されていない可能性があります。信頼ストア証明書を削除すると、一部の ONTAP アプリケーションが正常に機能しなくなることがあります(例: AutoSupport )。

新しい有効期限を設定して信頼ストア証明書を作成できますか。

いいえ。新しい証明書は、技術的には認証局によって再発行され、再インストールされる必要があります。ただし、前述したように、トラストストア証明書は、 ONTAP リリースの一部として必要に応じて自動的に更新されます。