メインコンテンツまでスキップ

コマンドラインを使用してONTAP 自己署名SSL証明書を更新する方法

Views:
3,270
Visibility:
Public
Votes:
7
Category:
ontap-9
Specialty:
core
Last Updated:

環境

  • ONTAP 9
  • 自己署名証明書

説明

  • この資料では、ONTAP 9ストレージシステムのコマンドラインでSSL自己署名証明書を更新する手順について説明します。
  •   必要な証明書の有効期限が切れると、FPolicy、ウィルス対策、System Manager、またはポート443(HTTPS)へのその他の接続が失敗することがあります。

ONTAP 9.10.1以降では、System Managerを使用して期限切れになる証明書を更新することもできます。   System ManagerユーザインターフェイスでONTAP自己署名証明書を更新する方法を参照してください

手順

注 :HTTPSサービスの停止に関する懸念事項がある場合は、メンテナンス時間中にこのタスクを実行してください。

  1. 期限切れまたは期限切れになるサーバ証明書を特定します。 

::> security certificate show -fields vserver,common-name,serial,ca,type,expiration -type server

::> security certificate show -fields vserver,common-name,serial,ca,type,expiration -type server     
vserver common-name serial       ca     type   subtype cert-name expiration
------- ----------- ---------------- -------- ------ ------- --------- ------------------------
clus1   affc190    16E3A53D8D90E881 affc190  server -     affc190   Fri Apr 07 10:59:32 2023
svm1   svm1_A    16FD6CBB01F4F813 svm1_A   server -     svm1_A   Fri Jun 30 14:35:51 2022
2 entries were displayed.

  1. 新しい自己署名証明書を作成します。

::> security certificate create -common-name <name> -type server -size 2048 -email-addr <email> -expire-days 365 -protocol SSL -hash-function SHA256 -vserver <svm name>

::> security certificate create -common-name svm1_B -type server -size 2048 -email-addr "admin@nowhere.com"  
-expire-days 365 -protocol SSL -hash-function SHA256 -vserver svm1
  
The certificate's generated name for reference: svm1_B

  1. SSLで使用する新しい証明書を有効にします。

::> security ssl modify -server-enabled true -vserver <svm name> -ca <auth> -serial <serial>    

注:SVMで有効にできるサーバ証明書は1つだけです。  既存の証明書は、このコマンドの一部としてfalseとマークされます。

::> security ssl modify -server-enabled true -vserver svm1 -ca svm1_B -serial 16FD31BFCD1F353C
   
Warning: The certificate svm1_B is a self-signed certificate, which offers no verification of identity    
by client machines.  This presents the risk of man-in-the-middle attacks by malicious third-parties.
Do you want to continue? {y|n}: y

  1. 証明書がSSLに対して有効になっていることを確認します。

::> security ssl show -common-name <common name>

::> security ssl show -common-name svm1_B
      Serial             Server  Client
Vserver   Number       Common Name Enabled Enabled    
--------- ----------------  ----------- ------- -------
svm1    16FD31BFCD1F353C  svm1_B    true   false
 Certificate Authority: svm1_B

  1. 期限切れの証明書を削除:

::> security certificate delete -type server -vserver <svm name> -common-name <common name> -ca <auth> -serial <serial>

::> security certificate delete -type server -vserver svm1 -common-name svm1_A -ca svm1_A -serial 16FD6CBB01F4F813  
  
Warning: Deleting a server certificate will also delete the corresponding server-chain certificate, if one exists.
Do you want to continue? {y|n}: y

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.