コマンドラインを使用してONTAP自己署名SSL証明書を更新する方法

環境

ONTAP 9
自己署名証明書

説明

この資料では、ONTAP 9ストレージシステムのコマンドラインでSSL自己署名証明書を更新する手順について説明します。
必要な証明書の有効期限が切れると、FPolicy、ウィルス対策、System Manager、またはポート443（HTTPS）へのその他の接続が失敗することがあります。

ONTAP 9 .10.1以降では、System Managerを使用して期限切れになる証明書を更新することもできます。 System ManagerユーザインターフェイスでONTAP自己署名証明書を更新する方法を参照してください。

警告

実稼働システムでは、クラスタまたは SVM を SSL サーバーとして認証するためにCA 署名付きデジタル証明書をインストールすることが NetApp のベストプラクティスです。
SAMLを使用している場合は、クラスタ証明書を更新する前にSAMLを無効にしてください。証明書を更新したら、SAMLを再度設定する必要があります。
- 詳細については、KB「 SAML を有効にしてクラスタ証明書を更新した後、ONTAP System Manager にアクセスできない」を参照してください。

手順

注：HTTPSサービスの停止に関する懸念事項がある場合は、メンテナンス時間中にこのタスクを実行してください。

期限切れまたは期限切れになるサーバ証明書を特定します。

::> security certificate show -fields vserver,common-name,serial,ca,type,expiration -type server

例: ::> security certificate show -fields vserver,common-name,serial,ca,type,expiration -type server vserver common-name serial ca type subtype cert-name expiration ------- ----------- ---------------- -------- ------ ------- --------- ------------------------ clus1 affc190 16E3A53D8D90E881 affc190 server - affc190 Fri Apr 07 10:59:32 2023 svm1 svm1_A 16FD6CBB01F4F813 svm1_A server - svm1_A Fri Jun 30 14:35:51 2022 2 entries were displayed.

新しい自己署名証明書を作成します。

::> security certificate create -common-name <name> -type server -size 2048 -email-addr <email> -expire-days 365 -protocol SSL -hash-function SHA256 -vserver <svm name>

例: ::> security certificate create -common-name svm1_B -type server -size 2048 -email-addr "admin@nowhere.com" -expire-days 365 -protocol SSL -hash-function SHA256 -vserver svm1 The certificate's generated name for reference: svm1_B

新しく作成した証明書を特定します。

::> security certificate show -fields vserver,common-name,serial,ca,type,expiration -type server

例: ::> security certificate show -fields vserver,common-name,serial,ca,type,expiration -type server vserver common-name serial ca type subtype cert-name expiration ------- ----------- ---------------- -------- ------ ------- --------- ------------------------ clus1 affc190 16E3A53D8D90E881 affc190 server - affc190 Fri Apr 07 10:59:32 2023 svm1 svm1_A 16FD6CBB01F4F813 svm1_A server - svm1_A Fri Jun 30 14:35:51 2022 svm1 svm1_A 16FD31BFCD1F353C svm1_A server - svm1_A Fri Dec 16 14:35:51 2024 3 entries were displayed.

SSLで使用する新しい証明書を有効にします。

::> security ssl modify -server-enabled true -vserver <svm name> -ca <auth> -serial <serial>

注：SVMで有効にできるサーバ証明書は1つだけです。既存の証明書は、このコマンドの一部としてfalseとマークされます。

例: ::> security ssl modify -server-enabled true -vserver svm1 -ca svm1_B -serial 16FD31BFCD1F353C Warning: The certificate svm1_B is a self-signed certificate, which offers no verification of identity by client machines. This presents the risk of man-in-the-middle attacks by malicious third-parties. Do you want to continue? {y|n}: y

証明書がSSLに対して有効になっていることを確認します。

::> security ssl show -common-name <common name>

例: ::> security ssl show -common-name svm1_B Serial Server Client Vserver Number Common Name Enabled Enabled --------- ---------------- ----------- ------- ------- svm1 16FD31BFCD1F353C svm1_B true false Certificate Authority: svm1_B

期限切れの証明書を削除：

::> security certificate delete -type server -vserver <svm name> -common-name <common name> -ca <auth> -serial <serial>

例: ::> security certificate delete -type server -vserver svm1 -common-name svm1_A -ca svm1_A -serial 16FD6CBB01F4F813 Warning: Deleting a server certificate will also delete the corresponding server-chain certificate, if one exists. Do you want to continue? {y|n}: y

追加情報

その他の証明書更新方法については、次を参照してください。

ONTAP 9で自己署名SSL証明書を更新する方法

関連リンク: