安装客户端证书以将集群或 SVM 作为 SSL 客户端进行身份验证

为了支持 SSL 服务器将集群或 Storage Virtual Machine (SVM) 作为 SSL 客户端进行身份验证,您需要在集群或 SVM 上安装 client 类型的数字证书。然后,将 client-ca 证书提供给 SSL 服务器管理员,以便在服务器上安装该证书。

开始之前

您必须已在集群或 SVM 上安装类型为 server-ca 的 SSL 服务器根证书。

步骤

  1. 要使用自签名数字证书进行客户端身份验证,请使用带有 -type client 参数的 security certificate create 命令。
  2. 要使用 CA 签名数字证书进行客户端身份验证,请完成以下步骤:
    1. 使用 security certificate generate-csr 命令生成数字证书签名请求 (CSR)。
      此时 Data ONTAP 会显示 CSR 输出,其中包括证书请求和私钥,并提醒您将输出复制到某个文件中以供今后参考。
    2. 将 CSR 输出中的证书请求以电子形式(如电子邮件)发送到受信任的 CA 进行签名。
      处理完请求之后,CA 会向您发送已签名的数字证书。 您应该保留一份私钥和 CA 签名证书的副本以供今后参考。
    3. 使用带有 -type client 参数的 security certificate install 命令安装 CA 签名证书。
    4. 出现提示时,输入相应证书和私钥,然后按 Enter 键。
    5. 出现提示时,输入所有其他根证书或中间证书,然后按 Enter 键。
      如果证书链始于受信任根 CA,而结束于向您签发的 SSL 证书,但缺少中间证书,则您需要在集群或 SVM 上安装中间证书。中间证书是由专门签发最终实体服务器证书的可信根签发的下级证书。最终,证书链以可信根证书颁发机构 (CA) 开始、经由中间证书并以签发给您的 SSL 证书结束。
  3. 集群或 SVM client-ca 证书提供给 SSL 服务器的管理员,以便在服务器上安装该证书。

    带有 -instance-type client-ca 参数的 security certificate show 命令可显示 client-ca 证书信息。

安装客户端证书以将集群或 SVM 作为 SSL 客户端进行身份验证的示例

以下示例将为自定义公用名为 lab.companyname.com 的公司的“vs1”SVM 创建一个自签名客户端证书。此证书用于将“vs1”SVM 作为 SSL 客户端进行身份验证:

cluster1::> security certificate create -vserver vs1 -common-name lab.companyname.com -type client

以下命令将创建一个具有 2048 位专用密钥的 CSR,供一家公司 IT 部门的软件团队使用,该公司的自定义公用名为 lab.companyname.com,位于美国加州的桑尼维尔。负责管理 SVM 的管理员联系人的电子邮件地址是 web@companyname.com。系统将在控制台上显示 CSR 和私钥。

cluster1::> security certificate generate-csr -common-name lab.companyname.com 
-size 2048 -country US -state CA -locality Sunnyvale -organization IT 
-unit Software -email-addr web@companyname.com

Certificate Signing Request: 
-----BEGIN CERTIFICATE REQUEST-----
MIICrjCCAZYCAQMwaTEQMA4GA1UEAxMHcnRwLmNvbTELMAkGA1UEBhMCVVMxCzAJ
BgNVBAgTAk5DMQwwCgYDVQQHEwNSVFAxDTALBgNVBAoTBGNvcmUxDTALBgNVBAsT
BGNvcmUxDzANBgkqhkiG9w0BCQEWADCCASIwDQYJKoZIhvcNAQEBBQADggEPADCC
...
-----END CERTIFICATE REQUEST-----


Private Key:
-----BEGIN RSA PRIVATE KEY-----
MIIBPAIBAAJBAMl6ytrK8nQj82UsWeHOeT8gk0BPX+Y5MLycsUdXA7hXhumHNpvF
C61X2G32Sx8VEa1th94tx+vOEzq+UaqHlt0CAwEAAQJBAMZjDWlgmlm3qIr/n8VT
PFnnZnbVcXVM7OtbUsgPKw+QCCh9dF1jmuQKeDr+wUMWknlDeGrfhILpzfJGHrLJ
...
-----END RSA PRIVATE KEY-----
 
Note: Please keep a copy of your private key and certificate request for future reference. 

以下命令将为“vs1”SVM 安装 CA 签名的客户端证书。此证书用于将“vs1”SVM 作为 SSL 客户端进行身份验证:

cluster1::> security certificate install -vserver vs1 -type client
 
Please enter Certificate: Press <Enter> when done
-----BEGIN CERTIFICATE-----
MIIB8TCCAZugAwIBAwIBADANBgkqhkiG9w0BAQQFADBfMRMwEQYDVQQDEwpuZXRh
cHAuY29tMQswCQYDVQQGEwJVUzEJMAcGA1UECBMAMQkwBwYDVQQHEwAxCTAHBgNV
BAoTADEJMAcGA1UECxMAMQ8wDQYJKoZIhvcNAQkBFgAwHhcNMTAwNDI2MTk0OTI4
...
-----END CERTIFICATE-----


Please enter Private Key: Press <Enter> when done
-----BEGIN RSA PRIVATE KEY-----
MIIBPAIBAAJBAMl6ytrK8nQj82UsWeHOeT8gk0BPX+Y5MLycsUdXA7hXhumHNpvF
C61X2G32Sx8VEa1th94tx+vOEzq+UaqHlt0CAwEAAQJBAMZjDWlgmlm3qIr/n8VT
PFnnZnbVcXVM7OtbUsgPKw+QCCh9dF1jmuQKeDr+wUMWknlDeGrfhILpzfJGHrLJ
...
-----END RSA PRIVATE KEY-----


Please enter certificates of Certification Authorities (CA) which form the 
certificate chain of the client certificate. This starts with the issuing 
CA certificate of the client certificate and can range up to the root CA certificate.

Do you want to continue entering root and/or intermediate certificates {y|n}: y

Please enter Intermediate Certificate: Press <Enter> when done
-----BEGIN CERTIFICATE-----
MIIE+zCCBGSgAwIBAgICAQ0wDQYJKoZIhvcNAQEFBQAwgbsxJDAiBgNVBAcTG1Zh
bGlDZXJ0IFZhbGlkYXRpb24gTmV0d29yazEXMBUGA1UEChMOVmFsaUNlcnQsIElu
Yy4xNTAzBgNVBAsTLFZhbGlDZXJ0IENsYXNzIDIgUG9saWN5IFZhbGlkYXRpb24g
...
-----END CERTIFICATE-----


Do you want to continue entering root and/or intermediate certificates {y|n}: n

Note: You should keep a copy of your certificate and private key for future reference. 
If you revert to an earlier release, the certificate and private key are deleted.