ONTAP AutoSupportメッセージがHTTPSを使用して失敗する：SSL証明書問題

環境

• ONTAP 9
•  AutoSupportメッセージのHTTPS転送プロトコル

問題

• AutoSupportメッセージがHTTPSをトランスポートとして使用すると失敗します：

::> system node autosupport history show -node node_name -seq-num <seq_num> -instance
                 Node: node_name
     AutoSupport Sequence Number: seq_num
   Destination for This AutoSupport: https
            Trigger Event: callhome.management.log
         Time of Last Update: 1/12/2021 02:58:59
          Status of Delivery: transmission-failed
          Delivery Attempts: 15
         AutoSupport Subject: MANAGEMENT_LOG
             Delivery URI: 10.106.130.129:8080(support.netapp.com/put/AsupPut)
              Last Error: SSL certificate problem: unable to get local issuer certificate

::> autosupport check show-details -node node_name
      Node: node_name
    Category: http-https
   Component: http-put-destination
     Status: failed
     Detail: HTTP/S PUT connectivity check failed for destination:
           https://support.netapp.com/put/AsupPut/ via proxy -
           123.123.123.123:8080. Error: Peer certificate can not be
           authenticated with given Certificate Authority
           certificates.
 Corrective Action: Certificate issue. Please make sure you have the correct
           Root Certificate installed
   Component: http-post-destination
     Status: failed
     Detail: HTTP/S POST connectivity check failed for destination:
           https://support.netapp.com/asupprod/post/1.0/postAsup
           via proxy - 123.123.123.123:8080. Error: Peer certificate
           can not be authenticated with given Certificate
           Authority certificates.
 Corrective Action: Certificate issue. Please make sure you have the correct
           Root Certificate installed

• 同様のエラーメッセージ： 
  • message: SSL certificate problem: self signed certificate in certificate chain
  • Error: Peer certificate 指定された で認証できません Certificate Authority certificates.
  • Error: asup.post.drop: AutoSupport message (HA Group Notification from node01 (USER_TRIGGERED (TEST:Test)) NOTICE) was not posted to NetApp. The system will drop the message.

•  /mroot/etc/log/mlog/notifyd.logで見つかったその他のエラーメッセージ：

::> system node run -node <node_name> -command rdfile /etc/log/mlog/notifyd.log

原因

• support.netapp.comとストレージコントローラ間の通信パスの中間に位置するファイアウォールや透過型プロキシなどのネットワークデバイスがHTTPSパケットを傍受している
• ファイアウォールや透過型プロキシによって挿入された証明書は、support.netapp.comから提供されているように見えますが、証明書はONTAPの信頼ストアにインストールされていません。
• support.netApp.comは次のデフォルトの署名済み証明書（信頼ストアバンドルに以前から存在）を必要とします：

::*> security certificate show -vserver <cluster_svm> -common-name AAACertificateServices
Vserver    Serial Number   Common Name                            Type
---------- --------------- -------------------------------------- ------------
cluster_svm
           01              AAACertificateServices                 server-ca
    Certificate Authority: AAA Certificate Services
          Expiration Date: Sun Dec 31 18:59:59 2028

解決策

1. ネットワーク / セキュリティ チームに依頼して、ルートCA証明書を収集し、security certificate installを使用してONTAPにインストールします。または、クラスタ内の各ノードを例外としてプロキシを変更し、プロキシが独自の自己署名証明書を挿入しないようにします。  たとえば、SSL 復号化では共通名が palo.tcw.int の証明書が挿入され、SSL 復号化の support.netapp.com をバイパスすると、SSL 復号化で証明書が挿入されなくなります。
2. プロキシのホワイトリストにsupport.netapp.comを追加してください。
3. プロキシを変更できない場合は、一時的な回避策として証明書の検証を無効にすることができます。

::> system node autosupport modify -node <node_name> -validate-digital-certificate false

追加情報

• ONTAPはHTTPSを使用してAutoSupportをどのように送信しますか？
• HTTPSを使用したONTAP AutoSupportメッセージが失敗する：証明書検証場所の設定エラー
• AutoSupportの詳細については、TR-4444 - ONTAP AutoSupport and AutoSuport On Demand Configuration Guideを参照してください
• ノードがNetAppサポートへのTLS接続を確立できるかどうか、および証明書の検証が成功するかどうかを確認するには、次のコマンドを実行します：
  • systemshell -node <nodename> openssl s_client -connect support.netapp.com:443
  • security certificate truststore check -vserver <cluster_name> -server support.netapp.com:443