安装服务器证书以将集群或 SVM 作为 SSL 服务器进行身份验证

为了能够将集群或 Storage Virtual Machine (SVM) 作为 SSL 服务器进行身份验证,您需要在集群或 SVM 上安装 server 类型的数字证书。您可以安装自签名证书或 CA 签名证书。

关于此任务

创建集群或 SVM 后,系统会自动创建自签名服务器证书并使用集群或 SVM 名称作为公用名。相应的 SSL 服务器身份验证将启用,并且也使用集群或 SVM 的默认公用名。

如果您希望集群或 SVM 使用不同的公用名或 CA 签名证书来进行服务器身份验证,您可以创建或安装其他服务器证书。您也可以修改 SSL 配置,以使用指定的服务器证书。

步骤

  1. 要创建用于服务器身份验证的自签名数字证书,请使用带有 -type server 参数的 security certificate create 命令。
  2. 要使用第三方 CA 签名数字证书进行服务器身份验证,请完成以下步骤:
    1. 使用 security certificate generate-csr 命令生成数字证书签名请求 (CSR)。
      系统会显示 CSR 输出。输出包括证书请求和专用密钥。您应该保留一份私钥副本。
    2. 复制 CSR 输出中的证书请求并以电子形式(如电子邮件)将其发送到受信任的第三方 CA 进行签名。
      处理完请求之后,CA 会向您发送已签名的数字证书。 您应该保留一份私钥和 CA 签名数字证书的副本。
    3. 使用带有 -type server 参数的 security certificate install 命令安装第三方 CA 签名数字证书。
    4. 出现提示时,输入相应证书和私钥,然后按 Enter 键。
    5. 当 Data ONTAP 询问您是否要安装 CA 根证书和中间证书以构成服务器证书的证书链时,请输入 Y。
    6. 出现提示时,输入所有其他根证书或中间证书,然后按 Enter 键。
      此时将安装 CA 的证书以构成服务器证书的证书链。此证书链从签发服务器证书的 CA 的证书开始,最多可以扩展到 CA 的根证书。如果缺少任何中间证书,将会导致服务器证书安装失败。

      输入 CA 证书之后,证书链将作为 server-chain 以及 server 证书类型进行安装。

  3. 要使用自签名 CA 数字证书进行服务器身份验证(即集群或 SVM 作为签名 CA),请完成以下步骤:
    1. 使用 security certificate generate-csr 命令生成 CSR。
      系统会显示 CSR 输出。输出包括证书请求和专用密钥。您应该保留一份私钥副本。
    2. 使用带有 -type root-ca 参数的 security certificate create 命令为集群或 SVM 生成一个自签名根 CA 证书。
    3. 使用带有 -instance-type root-ca 参数的 security certificate show 命令显示根 CA 证书。
      对 CSR 签名时,您将需要命令输出中的以下信息:
      • 证书颁发机构 (CA)
      • 证书的序列号
    4. 使用 security certificate sign 命令通过根 CA 对 CSR 签名。
    5. 出现提示时,输入 CSR,然后按 Enter 键。
    6. 使用带有 -type server 参数的 security certificate install 命令安装自签名 CA 数字证书。
    7. 出现提示时,输入相应证书和私钥,然后按 Enter 键。
    8. 当 Data ONTAP 询问您是否要安装 CA 根证书和中间证书以构成服务器证书的证书链时,请输入 N。
  4. 如果要修改 SSL 配置以指定用于服务器身份验证的证书,请使用带有 -ca-serial 参数的 security ssl modify 命令。

安装服务器证书以将集群或 SVM 作为 SSL 服务器进行身份验证的示例

以下示例将为自定义公用名为 lab.companyname.com 的公司的“vs1”SVM 创建一个自签名服务器证书。此证书用于将“vs1”SVM 作为 SSL 服务器进行身份验证:

cluster1::> security certificate create -vserver vs1 -common-name lab.companyname.com -type server

以下命令将创建一个具有 2048 位专用密钥的 CSR,供一家公司 IT 部门的软件团队使用,该公司的自定义公用名为 server1.companyname.com,位于美国加州的桑尼维尔。负责管理 SVM 的管理员联系人的电子邮件地址是 web@companyname.com。系统输出将显示 CSR 和私钥:

cluster1::> security certificate generate-csr -common-name server1.companyname.com 
-size 2048 -country US -state CA -locality Sunnyvale 
-organization IT -unit Software -email-addr web@companyname.com

Certificate Signing Request: 
-----BEGIN CERTIFICATE REQUEST-----
MIICrjCCAZYCAQMwaTEQMA4GA1UEAxMHcnRwLmNvbTELMAkGA1UEBhMCVVMxCzAJ
BgNVBAgTAk5DMQwwCgYDVQQHEwNSVFAxDTALBgNVBAoTBGNvcmUxDTALBgNVBAsT
BGNvcmUxDzANBgkqhkiG9w0BCQEWADCCASIwDQYJKoZIhvcNAQEBBQADggEPADCC
...
-----END CERTIFICATE REQUEST-----


Private Key:
-----BEGIN RSA PRIVATE KEY-----
MIIBPAIBAAJBAMl6ytrK8nQj82UsWeHOeT8gk0BPX+Y5MLycsUdXA7hXhumHNpvF
C61X2G32Sx8VEa1th94tx+vOEzq+UaqHlt0CAwEAAQJBAMZjDWlgmlm3qIr/n8VT
PFnnZnbVcXVM7OtbUsgPKw+QCCh9dF1jmuQKeDr+wUMWknlDeGrfhILpzfJGHrLJ
...
-----END RSA PRIVATE KEY-----
 
Note: Please keep a copy of your private key and certificate request for future reference. 

以下命令将为“vs1”SVM 安装 CA 签名服务器证书。此证书用于将“vs1”SVM 作为 SSL 服务器进行身份验证:

cluster1::> security certificate install -vserver vs1 -type server

Please enter Certificate: Press <Enter> when done
-----BEGIN CERTIFICATE-----
MIIB8TCCAZugAwIBAwIBADANBgkqhkiG9w0BAQQFADBfMRMwEQYDVQQDEwpuZXRh
cHAuY29tMQswCQYDVQQGEwJVUzEJMAcGA1UECBMAMQkwBwYDVQQHEwAxCTAHBgNV
BAoTADEJMAcGA1UECxMAMQ8wDQYJKoZIhvcNAQkBFgAwHhcNMTAwNDI2MTk0OTI4
...
-----END CERTIFICATE-----


Please enter Private Key: Press <Enter> when done
-----BEGIN RSA PRIVATE KEY-----
MIIBPAIBAAJBAMl6ytrK8nQj82UsWeHOeT8gk0BPX+Y5MLycsUdXA7hXhumHNpvF
C61X2G32Sx8VEa1th94tx+vOEzq+UaqHlt0CAwEAAQJBAMZjDWlgmlm3qIr/n8VT
PFnnZnbVcXVM7OtbUsgPKw+QCCh9dF1jmuQKeDr+wUMWknlDeGrfhILpzfJGHrLJ
...
-----END RSA PRIVATE KEY-----


Please enter certificates of Certification Authorities (CA) which form the 
certificate chain of the server certificate. This starts with the issuing 
CA certificate of the server certificate and can range up to the root CA certificate.

Do you want to continue entering root and/or intermediate certificates {y|n}: y

Please enter Intermediate Certificate: Press <Enter> when done
-----BEGIN CERTIFICATE-----
MIIE+zCCBGSgAwIBAgICAQ0wDQYJKoZIhvcNAQEFBQAwgbsxJDAiBgNVBAcTG1Zh
bGlDZXJ0IFZhbGlkYXRpb24gTmV0d29yazEXMBUGA1UEChMOVmFsaUNlcnQsIElu
Yy4xNTAzBgNVBAsTLFZhbGlDZXJ0IENsYXNzIDIgUG9saWN5IFZhbGlkYXRpb24g
...
-----END CERTIFICATE-----


Do you want to continue entering root and/or intermediate certificates {y|n}: n

Note: You should keep a copy of your certificate and private key for future reference. 
If you revert to an earlier release, the certificate and private key are deleted.