ONTAPのCertificate Truststoreとは何ですか?
環境
- ONTAP 9
- AutoSupport
回答
証明書信頼ストアとは何ですか?
- ONTAP 9.2以降、信頼されたルートCA証明書のセットがONTAPの証明書管理に導入されました。
- 管理SVMは、ONTAPで実行されているアプリケーションが外部エンティティへのTLS接続をシームレスに確立できるようにします。
- 各証明書には有効期限が設定されています。
信頼ストア証明書はいつインストールされますか
- 信頼ストア証明書は、ONTAP バージョン9.2以降のインストール時、またはONTAP 9.2以降へのアップグレード時にのみ管理SVMにインストールされます。
- 信頼ストア証明書バンドルも、新しいバージョンのONTAPで更新されます。
インストールされているTruststore証明書を表示するにはどうすればよいですか?
- 管理SVMにインストールされているTruststore Certificatesを表示するには、
security certificate show-type server-cacommand. -
security certificate show -vserver * -type server-caでは、ユーザがインストールした証明書とTruststore Certificatesの両方が表示されます。 - ONTAP 9.4以降、
security certificate show-truststorecanはデフォルトのTruststore Certificatesのみを表示するために使用できます。- デフォルトのTruststore証明書を表示: security certificate show-truststore
- ユーザがインストールした証明書を表示: security certificate show-user-installed
信頼ストア証明書の有効期限が切れた場合はどうなりますか?
- 信頼ストア証明書の有効期限が切れた場合は、削除するか、インストールしたままにすることができます。
- 信頼ストア証明書は、各ONTAPリリースで必要に応じて自動的に更新されます。
- これはBUG CONTAP-41469: EMS expiration warnings are sent for truststore certificates expiring in 30 daysでも説明されています
ONTAP Event Management System(EMS)は次の内容を報告します。
- 有効期限の30日前から:
Tue Jul 09 00:00:01 CEST [node1: mgwd: mgmtgwd.certificate.expiring:error]: A digital certificate with Fully Qualified Domain Name (FQDN) UTN-USERFirst-Hardware, Serial Number 44BE0C8B500024B411D3362AFE650AFD, Certificate Authority 'UTN-USERFirst-Hardware' and type server-ca for Vserver ADMIN-SVM will expire in the next 10 day(s).
- 2019年7月現在、有効期限が切れている証明書が3つあります。
- これらのTruststore CertificatesはNetAppによって確認されており、安全に削除できます。
Name of Vserver Netapp1
FQDN or Custom Common Name Class2PrimaryCA
Serial Number of Certificate 85BD4BF3D8DAE369F694D75FC3A54423
Certificate Authority Class 2 Primary CA
Type of Certificate server-ca
Certificate Expiration Date Sat Jul 06 18:59:59 2019
Protocol SSL
Hashing Function SHA1
Name of Vserver Netapp1
FQDN or Custom Common Name DeutscheTelekomRootCA2
Serial Number of Certificate 26
Certificate Authority Deutsche Telekom Root CA 2
Type of Certificate server-ca
Certificate Expiration Date Tue Jul 09 18:59:00 2019
Protocol SSL
Hashing Function SHA1
Name of Vserver Netapp1
FQDN or Custom Common Name UTN-USERFirst-Hardware
Serial Number of Certificate 44BE0C8B500024B411D3362AFE650AFD
Certificate Authority UTN-USERFirst-Hardware
Type of Certificate server-ca
Certificate Expiration Date Tue Jul 09 13:19:22 2019
Protocol SSL
Hashing Function SHA1
- バグの回避策に従い、コマンドを使用して証明書を削除します
security certificate delete
::> set advanced
::*> security certificate delete -vserver
注: <TAB> は-serialを自動的に補完し、-caの名前は二重引用符で囲む必要があります
信頼ストア証明書を削除するとどうなりますか?
- ほとんどの場合、期限切れの証明書は未使用のままになります。
- 信頼ストア証明書を削除すると、一部のONTAPアプリケーション(AutoSupportやSystem Managerなど)が想定どおりに機能しなくなる可能性があります。
新しい有効期限でTruststore Certificateを作成できますか?
- いいえ、新しい証明書は認証局によって再発行され、その後再インストールする必要があります。
- 上記のとおり、Truststore Certificatesは各ONTAPリリースごとに必要に応じて自動的に更新されます。
デフォルトのAutoSupport証明書とは何ですか?(HTTPSに影響)
- 2020年5月30日まで有効
- 認証局:AddTrust External CA Root
- 共通名:AddTrustExternalCARoot
- 新しい証明書 May 31, 2020
- 認証局:AAA Certificate Services
- 共通名:AAACertificateServices
- 詳細については、 AutoSupport証明書の有効期限が切れた場合どうなりますか?を参照してください。