HTTPSを使用してONTAP AutoSupportメッセージが失敗する：SSL証明書の問題

最後の更新
PDFとして保存

Views:: 661

Visibility:: Public

Votes:: 1

Category:: ontap-9

Specialty:: CORE

Last Updated:

環境

ONTAP 9
AutoSupportメッセージ用のHTTPS転送プロトコル

問題

HTTPSを転送プロトコルとして使用すると、AutoSupportメッセージが失敗します。

::> system node autosupport history show -node node_name -seq-num <seq_num> -instance Node: node_name AutoSupport Sequence Number: seq_num Destination for This AutoSupport: https Trigger Event: callhome.management.log Time of Last Update: 1/12/2021 02:58:59 Status of Delivery: transmission-failed Delivery Attempts: 15 AutoSupport Subject: MANAGEMENT_LOG Delivery URI: 10.106.130.129:8080(support.netapp.com/put/AsupPut) Last Error: SSL certificate problem: unable to get local issuer certificate

::> autosupport check show-details -node node_name Node: node_name Category: http-https Component: http-put-destination Status: failed Detail: HTTP/S PUT connectivity check failed for destination: https://support.netapp.com/put/AsupPut/ via proxy - 123.123.123.123:8080. Error: Peer certificate can not be authenticated with given Certificate Authority certificates. Corrective Action: Certificate issue. Please make sure you have the correct Root Certificate installed Component: http-post-destination Status: failed Detail: HTTP/S POST connectivity check failed for destination: https://support.netapp.com/asupprod/post/1.0/postAsup via proxy - 123.123.123.123:8080. Error: Peer certificate can not be authenticated with given Certificate Authority certificates. Corrective Action: Certificate issue. Please make sure you have the correct Root Certificate installed

同様のエラーメッセージ：
- message: SSL certificate problem: self signed certificate in certificate chain
- Error: Peer certificate 指定したで認証できません Certificate Authority certificates.
- Error: asup.post.drop: AutoSupport message (HA Group Notification from node01 (USER_TRIGGERED (TEST:Test)) NOTICE) was not posted to NetApp. The system will drop the message.
/mroot/etc/log/mlog/notifyd.log にはその他のエラーメッセージが表示されます。

::> system node run -node <node_name> -command rdfile /etc/log/mlog/notifyd.log

原因

support.netapp.com とストレージコントローラ間の通信パスの中間にあるファイアウォールや透過型プロキシなどのネットワークデバイスが HTTPS パケットを傍受している
ファイアウォールまたは透過型プロキシによって挿入された証明書はsupport.netapp.com によって提供されているように見えますが、証明書はONTAPの信頼ストアにインストールされていません。
support.netApp.com は、次のデフォルトの署名済み証明書を想定します（信頼ストアバンドルにはすでに存在します）。

::*> security certificate show -vserver <cluster_svm> -common-name AAACertificateServices Vserver Serial Number Common Name Type ---------- --------------- -------------------------------------- ------------ cluster_svm 01 AAACertificateServices server-ca Certificate Authority: AAA Certificate Services Expiration Date: Sun Dec 31 18:59:59 2028

解決策

ネットワーク/セキュリティチームにルートCA証明書を収集してsecurity certificate install を使用してONTAPにインストールするか、クラスタ内の各ノードを例外としてプロキシを変更して、プロキシが独自の自己署名証明書を挿入できないようにします。たとえば、SSL復号化はpalo.tcw.intという共通名の証明書を挿入し、サポートをバイパスします。SSL復号化のためのNetApp .comは、SSL復号化による証明書の挿入を防ぎます。
プロキシホワイトリストにsupport.netapp.com を追加します。
プロキシを変更できない場合は、一時的な回避策として証明書の検証を無効にすることができます。

::> system node autosupport modify -node <node_name> -validate-digital-certificate false

注：これにより、クラスタ内のすべてのコントローラが、support.netapp.com から受信したサーバ証明書を検証しないように設定されます。これは、問題が完全に解決されるまでAutoSupportログの配信を再開するための一時的な修正です。

追加情報

ONTAPはHTTPSを使用してAutoSupportを送信する方法を教えてください。
HTTPSを使用してONTAP AutoSupportメッセージが失敗する：証明書の検証場所の設定エラー
AutoSupportの詳細については、TR-4444：『ONTAP AutoSupport and AutoSuport On Demand Configuration Guide』を参照してください。