ONTAPはHTTPSを使用してAutoSupportを送信する方法を教えてください。
環境
- ONTAP 9
- clustered Data ONTAP 8.3
- Data ONTAP 8 7-Mode
- AutoSupport
- 転送HTTPS
回答
ONTAPがHTTPSプロトコル経由でAutoSupportを送信する場合、HTTPSクライアントとして機能します。
- HTTPSクライアントがサーバとの暗号化通信を確立しようとするときに発生する基本的な手順の図を次に示します。
主なコンポーネントは次のとおりです。
- クライアントは、通信を開始し、暗号化された通信チャネルを必要とするシステムです。 この場合、Data ONTAPストレージコントローラのAutoSupportサブシステムがクライアントです。
- サーバーは、暗号化された通信チャネルを介して通信できるサービスを提供するシステムです。
| AutoSupportサーバURL | 概要 |
|---|---|
| https://support.netapp.com/put/AsupPut | HTTP/S PUTのサポートURL |
| https://support.netapp.com/asupprod/post/1.0/postAsup | HTTP / HTTPSのサポートURL |
| AutoSupport OnDemand要求に使用 |
- サーバキーストアはサーバ上にあり、CA署名済みサーバパブリック証明書ファイルと秘密鍵ファイルのコピーが格納されています。 サーバパブリック証明書のみが表示されます。
- サーバパブリック証明書には、サーバの公開鍵と、サーバ証明書に署名したCAの認証局(CA)公開鍵チェーンが含まれます。
- クライアントに常駐するトラストストアには、信頼するすべてのCAの公開鍵のリストが格納されています。
cacert.pemファイルは、Data ONTAPが AutoSupport httpsクライアントによって信頼され、証明書の検証時に使用されるすべてのCAの公開鍵を格納する場所です。
暗号化されたチャネルの確立方法は次のとおりです。
- httpsクライアントはサーバーに接続し、暗号化された通信チャネルを要求します。
- サーバがCA署名済みサーバ証明書で応答します。 署名済み証明書には、サーバの公開鍵と、証明書に署名したCAの公開鍵チェーンが含まれます。
- クライアントは、受信したサーバ証明書のCAチェーンをチェックし、クライアントの信頼ストアをチェックしてCAが信頼できるかどうかを確認します。 Data ONTAPには、この手順を省略するように設定できる設定があります。
a) CAが信頼されている場合、証明書交換は手順4に進みます。
b) CAが信頼されていない場合、クライアントは証明書を拒否して接続を終了します。 - Diffie-Hellman(DH; Diffie-Hellman)キー交換と暗号化ハンドシェイクが行われ、セッションに使用される暗号化アルゴリズムが相互に決定されます。
- 暗号化されたハンドシェイクが完了すると、クライアントとサーバの間で暗号化された通信が開始されます。