コマンドラインを使用してONTAP自己署名SSL証明書を更新する方法
環境
- ONTAP 9
- 自己署名証明書
概要
- この資料では、ONTAP 9ストレージシステムのコマンドラインでSSL自己署名証明書を更新する手順について説明します。
- 必要な証明書の有効期限が切れると、FPolicy、ウィルス対策、System Manager、またはポート443(HTTPS)へのその他の接続が失敗することがあります。
ONTAP 9 .10.1以降では、System Managerを使用して期限切れになる証明書を更新することもできます。 System ManagerユーザインターフェイスでONTAP自己署名証明書を更新する方法を参照してください。
|
警告
|
手順
注 :HTTPSサービスの停止に関する懸念事項がある場合は、メンテナンス時間中にこのタスクを実行してください。
- 期限切れまたは期限切れになるサーバ証明書を特定します。
::> security certificate show -fields vserver,common-name,serial,ca,type,expiration -type server
- 例
-
::> security certificate show -fields vserver,common-name,serial,ca,type,expiration -type server
vserver common-name serial ca type subtype cert-name expiration
------- ----------- ---------------- -------- ------ ------- --------- ------------------------
clus1 affc190 16E3A53D8D90E881 affc190 server - affc190 Fri Apr 07 10:59:32 2023
svm1 svm1_A 16FD6CBB01F4F813 svm1_A server - svm1_A Fri Jun 30 14:35:51 2022
2 entries were displayed.
- 新しい自己署名証明書を作成します。
::> security certificate create -common-name <name> -type server -size 2048 -email-addr <email> -expire-days 365 -protocol SSL -hash-function SHA256 -vserver <svm name>
- 例
-
::> security certificate create -common-name svm1_B -type server -size 2048 -email-addr "admin@nowhere.com"
-expire-days 365 -protocol SSL -hash-function SHA256 -vserver svm1
The certificate's generated name for reference: svm1_B
- 新しく作成した証明書を特定します。
::> security certificate show -fields vserver,common-name,serial,ca,type,expiration -type server
- 例
-
::> security certificate show -fields vserver,common-name,serial,ca,type,expiration -type server
vserver common-name serial ca type subtype cert-name expiration
------- ----------- ---------------- -------- ------ ------- --------- ------------------------
clus1 affc190 16E3A53D8D90E881 affc190 server - affc190 Fri Apr 07 10:59:32 2023
svm1 svm1_A 16FD6CBB01F4F813 svm1_A server - svm1_A Fri Jun 30 14:35:51 2022
svm1 svm1_A 16FD31BFCD1F353C svm1_A server - svm1_A Fri Dec 16 14:35:51 2024
3 entries were displayed.
- SSLで使用する新しい証明書を有効にします。
::> security ssl modify -server-enabled true -vserver <svm name> -ca <auth> -serial <serial>
注:SVMで有効にできるサーバ証明書は1つだけです。 既存の証明書は、このコマンドの一部としてfalseとマークされます。
- 例
-
::> security ssl modify -server-enabled true -vserver svm1 -ca svm1_B -serial 16FD31BFCD1F353C
Warning: The certificate svm1_B is a self-signed certificate, which offers no verification of identity
by client machines. This presents the risk of man-in-the-middle attacks by malicious third-parties.
Do you want to continue? {y|n}: y
- 証明書がSSLに対して有効になっていることを確認します。
::> security ssl show -common-name <common name>
- 例
-
::> security ssl show -common-name svm1_B
Serial Server Client
Vserver Number Common Name Enabled Enabled
--------- ---------------- ----------- ------- -------
svm1 16FD31BFCD1F353C svm1_B true false
Certificate Authority: svm1_B
- 期限切れの証明書を削除:
::> security certificate delete -type server -vserver <svm name> -common-name <common name> -ca <auth> -serial <serial>
- 例
-
::> security certificate delete -type server -vserver svm1 -common-name svm1_A -ca svm1_A -serial 16FD6CBB01F4F813
Warning: Deleting a server certificate will also delete the corresponding server-chain certificate, if one exists.
Do you want to continue? {y|n}: y