HTTPS を使用して ONTAP から AutoSupport を送信する方法

ONTAP が HTTPS プロトコルを介して AutoSupport を送信する場合、 HTTPS クライアントとして機能します。  

• 次の図は、 HTTPS クライアントがサーバとの暗号化された通信を確立しようとしたときに発生する基本的な手順を示しています。

主なコンポーネントは次のとおりです。

• クライアント：通信を開始するシステムで、暗号化された通信チャネルを必要とします。  この場合、 Data ONTAP ストレージコントローラ上の AutoSupport サブシステムがクライアントになります。
• サーバ：暗号化された通信チャネル経由で通信サービスを提供するシステムです。

• サーバのキーストア：サーバ上にあり、CA署名済みのサーバ パブリック証明書ファイルと秘密鍵ファイルのコピーが格納されています。  サーバのパブリック証明書のみが表示されます。
  • サーバの公開証明書には、サーバの公開鍵と、サーバ証明書に署名した CA の認証局（ CA ）公開鍵チェーンが含まれます。
• クライアントに常駐する信頼ストアには、信頼するすべての CA の公開キーが一覧表示されます。  
  • cacert.pemこのファイルには、 AutoSupport HTTPS クライアントによって信頼され、証明書の検証時に使用されるすべての CAS の公開キーが格納されます。

次に、暗号化されたチャネルの確立方法を記載します。

1. https クライアントはサーバに接続し、暗号化された通信チャネルを要求します。
2. サーバが、CA署名済みのサーバ証明書で応答します。  署名付き証明書には、サーバの公開鍵、および証明書に署名した CA の公開鍵チェーンが含まれます。
3. クライアントは、受信したサーバ証明書の CA チェーンを確認し、クライアントの信頼ストアをチェックして、 CA が信頼できることを確認します。  Data ONTAPでは、設定によってこの手順をスキップすることができます。
   a）CAが信頼できる場合は、手順4に進みます。
   b）CAが信頼できない場合は、クライアントは証明書を拒否して接続を終了します。
4. Diffie-Hellman （ DH; ディッフィーヘルマン）キー交換と暗号化ハンドシェイクは、セッションに使用される暗号化アルゴリズムを相互に決定するために行われます
5. 暗号化されたハンドシェイクが完了すると、クライアントとサーバ間で暗号化された通信が開始されます。