ONTAP の証明書信頼ストアについて教えてください。
環境
- ONTAP 9
- AutoSupport
回答
証明書の信頼ストアとは何ですか?
ONTAP 9.2以降では、信頼されたルートCA証明書のセットがONTAPの証明書管理に導入されました。これにより、管理SVMで実行されているアプリケーションONTAPから外部エンティティへのTLS接続をシームレスに確立できます。各証明書には有効期限が関連付けられています。
Truststore証明書はいつインストールされますか。
信頼ストア証明書は、ONTAP 9.2のインストール時またはONTAP 9.2へのアップグレード時に、管理SVMにのみインストールされます。 Truststore証明書バンドルは、ONTAPの新しいバージョンでも更新されます。
インストールされている信頼ストア証明書を表示するにはどうすればよいですか?
管理SVMにインストールされている信頼ストア証明書を表示するには 、security certificate showコマンドを使用します。security certificate show -vserver * -type server-ca
注意 :には、security certificate show -vserver * -type server-ca
ユーザーがインストールした証明書と信頼ストア証明書の両方が表示されます。ONTAP 9.4以降では security certificate show-truststore
、デフォルトの信頼ストア証明書のみを表示するために使用できます。
ONTAP 9ドキュメント センター
- デフォルトの信頼ストア 証明書を表示します。 security certificate show -truststore
- ユーザがインストールした証明書を表示します。 security certificate show -user-installed
信頼ストア証明書の有効期限が切れた場合はどうなりますか?
信頼ストア証明書の有効期限が切れた場合は、証明書を削除するか、インストールしたままにするかを選択できます。信頼ストア証明書は、ONTAPの各リリースの一部として、必要に応じて自動的に更新されます。 これは バグ 1245418でも説明されています。
ONTAPイベント管理システム(EMS)で次の情報が報告されます。
...有効期限の30日前から:
例:
Tue Jul 09 00:00:01 CEST [node1: mgwd: mgmtgwd.certificate.expiring:error]: A digital certificate with Fully Qualified Domain Name (FQDN) UTN-USERFirst-Hardware, Serial Number 44BE0C8B500024B411D3362AFE650AFD, Certificate Authority 'UTN-USERFirst-Hardware' and type server-ca for Vserver ADMIN-SVM will expire in the next 10 day(s).
現在、2019年7月時点で有効期限が切れている証明書は3つあります。これらのトラストストア証明書はNetAppによって確認されており、安全に削除できます。
Name of Vserver Netapp1
FQDN or Custom Common Name Class2PrimaryCA
Serial Number of Certificate 85BD4BF3D8DAE369F694D75FC3A54423
Certificate Authority Class 2 Primary CA
Type of Certificate server-ca
Certificate Expiration Date Sat Jul 06 18:59:59 2019
Protocol SSL
Hashing Function SHA1
Name of Vserver Netapp1
FQDN or Custom Common Name DeutscheTelekomRootCA2
Serial Number of Certificate 26
Certificate Authority Deutsche Telekom Root CA 2
Type of Certificate server-ca
Certificate Expiration Date Tue Jul 09 18:59:00 2019
Protocol SSL
Hashing Function SHA1
Name of Vserver Netapp1
FQDN or Custom Common Name UTN-USERFirst-Hardware
Serial Number of Certificate 44BE0C8B500024B411D3362AFE650AFD
Certificate Authority UTN-USERFirst-Hardware
Type of Certificate server-ca
Certificate Expiration Date Tue Jul 09 13:19:22 2019
Protocol SSL
Hashing Function SHA1
Bug回避策に従って、次のコマンド security certificate delete
例を使用して証明書を削除します。
::> set advanced
::*> security certificate delete -vserver
注:<TAB>で はが自動的に補完され -serial
、 -ca
名前は二重引用符で囲む必要があります。
信頼ストア証明書を削除するとどうなりますか?
ほとんどの場合、期限切れの証明書は使用されません。信頼ストア証明書を削除すると、一部のONTAPアプリケーション(AutoSupportやSystem Managerなど)が想定どおりに機能しなくなることがあります。
新しい有効期限を設定して信頼ストア証明書を作成できますか?
いいえ。 新しい証明書は、認証局によって技術的に再発行されてから再インストールする必要があります。しかし、上記のように、トラストストア証明書はすべてのONTAPリリースの一部として必要に応じて自動的に更新されます。