クラスタ上の SSL 証明書を外部キーマネージャに置き換える方法
This KB article is linked to the Interactive Workflow ONTAP SSL certificate resolution guide.
環境
- Data ONTAP 8
- ONTAP 9
- 外部キーマネージャ
説明
外部キー管理サーバは、 KMIP ( Key Management Interoperability Protocol )を使用してノードに認証キーを提供する、ストレージ環境内のサードパーティ製システムです。 クラスタと KMIP サーバは、 KMIP SSL 証明書を使用して相互の ID を確認し、 SSL 接続を確立します。
開始する前に:
- 証明書、 KMIP サーバ、およびクラスタを作成するサーバで時刻を同期する必要があります
- [ 現在の証明書をバックアップする ] をオフにします。
- 新しい認証キーを生成しない場合は、現在インストールされている NSE 秘密キー( client_private.key )を使用して、更新証明書署名要求( client.csr )を生成する必要があります
- Client.csr ファイルは、署名のために CA に送信する必要があります。署名が完了すると、 NSE パブリック証明書( client.pem )になります。
- KMIP サーバ( ca.pem )のルート認証局( CA )の CA 公開証明書を取得している必要があります。
- OpenSSL がインストールされ、 KMIP サーバと通信できるコンピュータを使用して、 PEM ファイルを確認します。
注:クラスタに証明書をインストールする前または後に、クライアント証明書とサーバ証明書を KMIP サーバにインストールできます。