コマンドラインを使用してONTAP 自己署名SSL証明書を更新する方法

環境

• ONTAP 9
• 自己署名証明書

説明

• この記事では、ONTAP 9ストレージシステムのコマンドラインで手順 の自己署名証明書を更新する方法について説明します。
• 必要な証明書の期限が切れると、FPolicy、ウィルス対策、System Manager、またはポート443（HTTPS）へのその他の接続に失敗する可能性があります。

ONTAP 9.10.1以降では、System Managerを使用して期限切れになる証明書を更新することもできます。  System ManagerユーザインターフェイスでONTAP の自己署名証明書を更新する方法を参照してください。

手順

注：HTTPSサービスの停止について懸念がある場合は、メンテナンス期間にこのタスクを実行してください。

1. 期限切れまたは期限切れになるサーバ証明書を特定します。 

::> security certificate show -fields vserver,common-name,serial,ca,type,expiration -type server

例

::> security certificate show -fields vserver,common-name,serial,ca,type,expiration -type server     
vserver common-name serial       ca     type   subtype cert-name expiration
------- ----------- ---------------- -------- ------ ------- --------- ------------------------
clus1   affc190    16E3A53D8D90E881 affc190  server -     affc190   Fri Apr 07 10:59:32 2023
svm1   svm1_A    16FD6CBB01F4F813 svm1_A   server -     svm1_A   Fri Jun 30 14:35:51 2022
2 entries were displayed.

2. 新しい自己署名証明書を作成します。

::> security certificate create -common-name <name> -type server -size 2048 -email-addr <email> -expire-days 365 -protocol SSL -hash-function SHA256 -vserver <svm name>

例

::> security certificate create -common-name svm1_B -type server -size 2048 -email-addr "admin@nowhere.com"  
-expire-days 365 -protocol SSL -hash-function SHA256 -vserver svm1
  
The certificate's generated name for reference: svm1_B

3. SSL用の新しい証明書を有効にします。

::> security ssl modify -server-enabled true -vserver <svm name> -ca <auth> -serial <serial>    

注：SVMで有効にできるサーバ証明書は1つだけです。  このコマンドでは、既存の証明書がfalseとマークされます。

例

::> security ssl modify -server-enabled true -vserver svm1 -ca svm1_B -serial 16FD31BFCD1F353C
   
Warning: The certificate svm1_B is a self-signed certificate, which offers no verification of identity    
by client machines.  This presents the risk of man-in-the-middle attacks by malicious third-parties.
Do you want to continue? {y|n}: y

4. 証明書でSSLが有効になっていることを確認します。

::> security ssl show -common-name <common name>

例

::> security ssl show -common-name svm1_B
      Serial             Server  Client
Vserver   Number       Common Name Enabled Enabled    
--------- ----------------  ----------- ------- -------
svm1    16FD31BFCD1F353C  svm1_B    true   false
 Certificate Authority: svm1_B

5. 期限切れの証明書を削除します。

::> security certificate delete -type server -vserver <svm name> -common-name <common name> -ca <auth> -serial <serial>

例

::> security certificate delete -type server -vserver svm1 -common-name svm1_A -ca svm1_A -serial 16FD6CBB01F4F813  
  
Warning: Deleting a server certificate will also delete the corresponding server-chain certificate, if one exists.
Do you want to continue? {y|n}: y

 

追加情報

その他の証明書更新方法については、次を参照してください。

• ONTAP 9 で自己署名 SSL 証明書を更新する方法

関連リンク：

• 期限切れのデジタル証明書が SVM に使用された場合の影響は何ですか
• SVM の SSL 証明書を無効にすると、 ONTAP 9 の CIFS 共有に影響します
• 自己署名サーバの SSL 証明書を有効にしようとすると、「エラー：エントリが重複しています」というエラーが表示されます。
• イベントログに「mgmtgwd.certificate.expiring」というエラーメッセージが表示されます