ONTAPの証明書信頼ストアとは何ですか?

最後の更新
PDFとして保存

Views:: 1,779

Visibility:: Public

Votes:: 0

Category:: ontap-9

Specialty:: CORE

Last Updated:

環境

ONTAP 9
AutoSupport

回答

証明書の信頼ストアとは何ですか?

ONTAP 9.2以降では、信頼されたルートCA証明書のセットがONTAPの証明書管理に導入されました。
管理SVMを使用すると、ONTAPで実行されているアプリケーションから外部エンティティへのTLS接続をシームレスに確立できます。
各証明書には有効期限が関連付けられています。

Truststore証明書はいつインストールされますか。

信頼ストア証明書は、バージョン9.2以降のONTAPのインストール時、またはONTAP 9.2以降へのアップグレード時に、管理SVMにのみインストールされます。
Truststore証明書バンドルは、ONTAPの新しいバージョンでも更新されます。

インストールされている信頼ストア証明書を表示するにはどうすればよいですか?

使用すると、管理SVMにインストールされている信頼ストア証明書を表示できますsecurity certificate show -type server-ca コマンドを。
security certificate show -vserver * -type server-ca には、ユーザーがインストールした証明書と信頼ストア証明書の両方が表示されます。
ONTAP 9.4以降ではsecurity certificate show-truststore 使用してデフォルトの信頼ストア証明書のみを表示できます。
- デフォルトの信頼ストア証明書を表示します。security certificate show -truststore
- ユーザがインストールした証明書を表示します。security certificate show -user-installed

信頼ストア証明書の有効期限が切れた場合はどうなりますか?

信頼ストア証明書の有効期限が切れた場合は、削除するか、インストールしたままにしておくことができます。
信頼ストア証明書は、ONTAPのリリースごとに必要に応じて自動的に更新されます。
これはバグ1245418でも説明されています。

ONTAPイベント管理システム（EMS）で次の情報が報告されます。

有効期限の30日前以降：

Tue Jul 09 00:00:01 CEST [node1: mgwd: mgmtgwd.certificate.expiring:error]: A digital certificate with Fully Qualified Domain Name (FQDN) UTN-USERFirst-Hardware, Serial Number 44BE0C8B500024B411D3362AFE650AFD, Certificate Authority 'UTN-USERFirst-Hardware' and type server-ca for Vserver ADMIN-SVM will expire in the next 10 day(s).

2019年7月現在、有効期限が切れている証明書は3つあります。
これらのトラストストア証明書はNetAppによって確認されており、安全に削除できます。

Name of Vserver Netapp1 FQDN or Custom Common Name Class2PrimaryCA Serial Number of Certificate 85BD4BF3D8DAE369F694D75FC3A54423 Certificate Authority Class 2 Primary CA Type of Certificate server-ca Certificate Expiration Date Sat Jul 06 18:59:59 2019 Protocol SSL Hashing Function SHA1 Name of Vserver Netapp1 FQDN or Custom Common Name DeutscheTelekomRootCA2 Serial Number of Certificate 26 Certificate Authority Deutsche Telekom Root CA 2 Type of Certificate server-ca Certificate Expiration Date Tue Jul 09 18:59:00 2019 Protocol SSL Hashing Function SHA1 Name of Vserver Netapp1 FQDN or Custom Common Name UTN-USERFirst-Hardware Serial Number of Certificate 44BE0C8B500024B411D3362AFE650AFD Certificate Authority UTN-USERFirst-Hardware Type of Certificate server-ca Certificate Expiration Date Tue Jul 09 13:19:22 2019 Protocol SSL Hashing Function SHA1

Bug回避策に従って、次のコマンドを使用して証明書を削除します。 security certificate delete

::> set advanced ::*> security certificate delete -vserver -common-name Class2PrimaryCA -type server-ca -ca "Class 2 Primary CA" -serial 5BD4BF3D8DAE369F694D75FC3A54423

注： <TAB>は-serial自動的に補完します。-ca 名は二重引用符で囲む必要があります。

信頼ストア証明書を削除するとどうなりますか?

ほとんどの場合、期限切れの証明書は使用されません。
信頼ストア証明書を削除すると、一部のONTAPアプリケーション（AutoSupportやSystem Managerなど）が想定どおりに機能しなくなることがあります。

新しい有効期限を設定して信頼ストア証明書を作成できますか?

いいえ。新しい証明書は認証局によって再発行されてから再インストールする必要があります。
前述のように、トラストストア証明書はONTAPリリースごとに必要に応じて自動的に更新されます。

デフォルトのAutoSupport証明書とは何ですか。（HTTPSに影響）

2020年5月30日に終了
- 認証局：AddTrust外部CAルート
- 共通名：AddTrustExternalCARoot
新しい証明書2020年5月31日
- 認証局:AAA証明書サービス
- 共通名：AAACertificateServices
詳細については、「 AutoSupport証明書の有効期限が切れるとどうなりますか?」を参照してください。

環境

回答