ONTAP の証明書信頼ストアについて教えてください。

最後の更新
PDFとして保存

Views:: 1,197

Visibility:: Public

Votes:: 0

Category:: ontap-9

Specialty:: core

Last Updated:

環境

ONTAP 9
AutoSupport

回答

証明書信頼ストアとは

ONTAP 9.2 以降 ONTAP では、 ONTAP の証明書管理に一連の信頼されたルート CA 証明書が導入されました。これにより、管理 SVM を実行するアプリケーションで、外部エンティティへの TLS 接続をシームレスに確立できるようになります。各証明書には有効期限が関連付けられています。

信頼ストア証明書はいつインストールされますか。

トラストストア証明書は、 ONTAP 9.2 のインストール時、または ONTAP 9.2 へのアップグレード時に、管理 SVM にのみインストールされます。

インストールされている信頼ストア証明書を表示するにはどうすればよいですか。

security certificate show コマンドを使用すると、管理 SVM にインストールされている信頼ストア証明書を表示できます。security certificate show -vserver * -type server-ca

注security certificate show -vserver * -type server-ca：は、ユーザがインストールした証明書と信頼ストア証明書の両方を表示します。 ONTAP 9.4 以降でsecurity certificate show-truststore は、デフォルトの信頼ストア証明書のみを表示できます。

ONTAP 9ドキュメントセンター

デフォルトの信頼ストア証明書を表示します。 security certificate show -truststore
ユーザがインストールした証明書を表示します。 security certificate show -user-installed

信頼ストア証明書の有効期限が切れた場合はどうなりますか。

信頼ストア証明書の有効期限が切れた場合は、証明書を削除するか、そのままにしておくかを選択できます。トラストストア証明書は、 ONTAP の各リリースの一部として、必要に応じて自動的に更新されます。
これについては、バグ 1245418 でも説明されています。

EMS は以下を報告します

有効期限の 30 日前から：

例：
Tue Jul 09 00:00:01 CEST [node-name: mgwd: mgmtgwd.certificate.expiring:error]: A digital certificate with Fully Qualified Domain Name (FQDN) UTN-USERFirst-Hardware, Serial Number 44BE0C8B500024B411D3362AFE650AFD, Certificate Authority 'UTN-USERFirst-Hardware' and type server-ca for Vserver ADMIN-SVM will expire in the next 0 day(s).

現在、 3 つの証明書があり、 2019 年 7 月時点で失効しています。これらの信頼ストア証明書は、ネットアップが確認したもので、安全に削除できます。

Name of Vserver Netapp1 FQDN or Custom Common Name Class2PrimaryCA Serial Number of Certificate 85BD4BF3D8DAE369F694D75FC3A54423 Certificate Authority Class 2 Primary CA Type of Certificate server-ca Certificate Expiration Date Sat Jul 06 18:59:59 2019 Protocol SSL Hashing Function SHA1 Name of Vserver Netapp1 FQDN or Custom Common Name DeutscheTelekomRootCA2 Serial Number of Certificate 26 Certificate Authority Deutsche Telekom Root CA 2 Type of Certificate server-ca Certificate Expiration Date Tue Jul 09 18:59:00 2019 Protocol SSL Hashing Function SHA1 Name of Vserver Netapp1 FQDN or Custom Common Name UTN-USERFirst-Hardware Serial Number of Certificate 44BE0C8B500024B411D3362AFE650AFD Certificate Authority UTN-USERFirst-Hardware Type of Certificate server-ca Certificate Expiration Date Tue Jul 09 13:19:22 2019 Protocol SSL Hashing Function SHA1

バグの回避策に従って、次'security certificate delete'
のコマンド例を使用して証明書を削除します。

::> set advanced
::*>security certificate delete -vserver -common-name Class2PrimaryCA -type server-ca -ca "Class 2 Primary CA" -serial 5BD4BF3D8DAE369F694D75FC3A54423

注： 「Tab」 は自動的に入力され -serial 、 -ca 引用符で囲む必要があります。

信頼ストア証明書を削除するとどうなりますか。

ほとんどの場合、期限切れの証明書が使用されていない可能性があります。信頼ストア証明書を削除すると、一部のONTAP アプリケーション（AutoSupport やSystem Managerなど）が想定どおりに機能しなくなることがあります。

新しい有効期限を設定して信頼ストア証明書を作成できますか。

いいえ。新しい証明書は、技術的には認証局によって再発行され、再インストールされる必要があります。ただし、前述したように、トラストストア証明書は、 ONTAP リリースの一部として必要に応じて自動的に更新されます。

環境

回答