メインコンテンツへスキップ

証明書を削除するとHTTPSを使用するONTAP AutoSupportの検証に失敗する

  1. 最後の更新
  2. PDFとして保存
Views:
140
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
CORE
Last Updated:

環境

  • ONTAP 9.7 以降
  • AutoSupport
  • 転送HTTPS

問題

  • 信頼ストアから一部の証明書を削除すると、AutoSupportが失敗します。

cluster1::*>system node autosupport check show-details -node * -check-type https-post-destination

Node: cluster1-01
 
Category: https
      Component: https-post-destination
       Status: failed
       Detail: HTTPS POST connectivity check failed for destination:
https://support.netapp.com/asupprod/post/1.0/postAsup.
           Error: Peer certificate can not be authenticated with
           given Certificate Authority certificates.
  Corrective Action: Certificate issue. Please make sure you have the correct
           Root Certificate installed

  • 次の証明書がないか確認してください

cluster1::>security certificate show-truststore -common-name AAACertificateServices

There are no entries matching your query.

cluster1::> security certificate show -common-name AAACertificateServices

There are no entries matching your query.

原因

  • ONTAPが  HTTPSのサポートURL(support.netapp.com/asupprod/post/1.0/postAsup)で認証するために使用するサーバCA証明書がありません。
  • 証明書の共通名は AAACertificateServicesです。
  • 証明書は次の2つの方法のうち1つ削除されました。
    • advanced権限の コマンド security certificate truststore clear が実行されました。
      • cluster1::*>security certificate truststore clear
    • advanced権限の コマンド security certificate delete が実行されました。
      • cluster1::*>security certificate delete -vserver cluster1 -common-name AAACertificateServices -ca "AAA Certificate Services" -type server-ca -serial 01
  • この問題は バグ ID 1221636で追跡されます。

解決策

この問題を解決するには、次のいずれかのオプションを選択します。
信頼ストアのリロード
  • これにより、 AAACertificateServicesルート証明書が他のすべての デフォルトルート証明書とともに追加されます。
  • security certificate truststore load コマンドをadvanced権限レベルで実行します。

cluster1::*>security certificate truststore load

AutoSupportに使用する個 々 の証明書を手動で追加する
  • これにより、  AAACertificateServicesルート証明書のみが追加されます。
  • この記事を公開した時点での現在のAAACertificateServices証明書は次のとおりです。ただし、信頼ストアは、現在の証明書がロードされるようにするため、最良の方法です。
  • security certificate install コマンドを使用します。

cluster1::>security certificate install -type server-ca

Please enter Certificate: Press <Enter> when done

-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----

 

You should keep a copy of the CA-signed digital certificate for future reference.
 
The installed certificate's CA and serial number for reference:
CA: AAA Certificate Services
serial: 01
 
The certificate's generated name for reference: AAACertificateServices​​​​ 

追加情報

一時的な回避策
  • 証明書の検証を無効にすることで、この動作を回避する方法が1つあります。
  • これにより、クラスタ内のすべてのコントローラがsupport.netapp.comから受信したサーバ証明書を検証しないように設定されます。
  • これは、問題が完全に解決されるまでAutoSupportログの配信を再開するための一時的な修正です。
  • 検証プロセスでサーバ証明書をスキップするようにストレージコントローラを設定する
cluster1::>system node autosupport modify -node <node> -transport https -support enable -validate-digital-certificate false
ドキュメント

 

 

Sign in to view the entire content of this KB article.

New to NetApp?

Learn more about our award-winning Support

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.