数字证书不仅可确保以加密形式传输通信内容,还可确保以私密方式按原样将信息发送到指定服务器,或者从经过身份验证的客户端按原样发送信息。您可以生成证书签名请求,也可以创建、安装、签署、显示、撤销或删除某个用于服务器或客户端身份验证的数字证书。
数字证书又称为公共密钥证书,是一种用于验证公共密钥所有者的电子文档。该证书既可以由所有者自行签名,也可以由证书颁发机构 (CA) 签名。如果集群或 Storage Virtual Machine (SVM) 是 SSL 服务器或客户端,则可以使用数字证书来提供服务器或客户端身份验证。同时提供服务器身份验证和客户端身份验证时,便属于相互身份验证(又称双向身份验证)。在这种情况下,服务器和客户端会向彼此提供各自的证书,以便向对方确定各自的身份。
您可以通过以下方式(security certificate 命令集)管理数字证书:
以下行为和默认设置适用:
security ssl modify 命令可启用或禁用作为 SSL 服务器的集群或 SVM 及其客户端的 SSL 身份验证。-server-enabled 参数默认设置为 true,-client-enabled 参数默认设置为 false。将 -client-enabled 参数设置为 true 可启用服务器(集群或 SVM)及其客户端的相互身份验证。
在管理数字证书时,您需要为服务器或客户端身份验证指定以下一种证书类型(security certificate 命令集的 -type 参数):
当您创建 root-ca 证书时,系统还会自动创建 client-ca 证书和 server-ca 证书。当您删除 root-ca 证书时,系统也会自动删除相应的 client-ca 证书和 server-ca 证书。