クラスタまたはSVMのSSLクライアントを認証するためのクライアントCAまたはルートCA証明書のインストール

クラスタまたはStorage Virtual Machine(SVM)がアクセスを求めるクライアントを認証できるようにするには、クライアントの証明書署名要求(CSR)に署名したCAのルート証明書用に、client-caタイプのデジタル証明書をクラスタまたはSVMにインストールします。root-caタイプのルートCA証明書をクラスタまたはSVM上に作成し、クライアントのCSRに自己署名することもできます。

始める前に

SSLクライアントの認証を有効にする場合、SSLサーバ認証も有効にする必要があります(デフォルト)。security ssl showコマンドを実行すると、設定が表示されます。

手順

  1. クラスタまたはSVMがCAとしてクライアント証明書に署名し、クラスタまたはSVMの自己署名ルートCA証明書がまだない場合、security certificate createコマンドに-type root-caパラメータを指定して実行し、自己署名ルートCA証明書を作成します。
    次のコマンドを実行すると、「vs1」 SVM(カスタム共通名lab.companyname.com)のルートCA証明書が作成されます。
    cluster1::> security certificate create -vserver vs1 -common-name lab.companyname.com -type root-ca
  2. -client-enabledパラメータをtrueに設定してsecurity ssl modifyコマンドを実行し、クラスタまたはSVMでSSLクライアント認証を有効にします。
  3. security certificate generate-csrコマンドを使用し、認証するクライアントのCSRを生成します。
    次のコマンドでは、クライアント(カスタム共通名vs1admin)のCSRが生成されます。
    cluster1::> security certificate generate-csr -common-name vs1admin
    
    Certificate Signing Request :
    -----BEGIN CERTIFICATE REQUEST-----
    MIICojCCAYoCAQAwXTERMA8GA1UEAxMIdnMxYWRtaW4xCzAJBgNVBAYTAlVTMQkw
    BwYDVQQIEwAxCTAHBgNVBAcTADEJMAcGA1UEChMAMQkwBwYDVQQLEwAxDzANBgkq
    hkiG9w0BCQEWADCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAL6ohdT5
    ...
    -----END CERTIFICATE REQUEST-----
    
    
    Private Key :
    -----BEGIN RSA PRIVATE KEY-----
    MIIEowIBAAKCAQEAvqiF1PmYy1Vtmkf6I8+mRXOy/m+3m/O1sEjUILbopzTlTu92
    igqEzDY4W6q7KoRkcSa2x/Zn6IRlqxKrQbvUAJvAUDhcV7bn9NAzv9JE1j/6+0RY
    IVR6Hr6QnCRSsjlLDxBnV3uZu8WNghpbIL98QP4oxwFu7G0HQsOleO3HMazOFyvW
    ...
    -----END RSA PRIVATE KEY-----
    
    Note: Please keep a copy of your certificate request and private key for future reference.
    
    証明書要求と秘密鍵が表示され、今後の参照用に出力をファイルにコピーするように求められます。
  4. CSRに自己署名する場合は、次の手順を実行します。
    1. security certificate showコマンドに-instanceパラメータおよび-type root-caパラメータを指定して使用し、手順1で作成したルートCA証明書を表示します。
      CSRに署名するには、コマンド出力の次の情報が必要です。
      • 認証局(CA)
      • 証明書のシリアル番号
      cluster1::> security certificate show -instance -vserver vs1 -type root-ca
      
                                   Vserver: vs1
                FQDN or Custom Common Name: lab.companyname.com
              Serial Number of Certificate: 50F84392
                     Certificate Authority: lab.companyname.com
                       Type of Certificate: root-ca
       Size of Requested Certificate(bits): 2048
                    Certificate Start Date: Wed Jun 25 13:29:16 2014
               Certificate Expiration Date: Thu Jun 25 13:29:16 2015
                    Public Key Certificate: -----BEGIN CERTIFICATE-----
                                        MIID+zCCAuOgAwIBAgIEUPhDkjANBgkqhkiG9w0BAQsFADBbMQ8wDQYDVQQDEwZt
                                          .
                                          .
                                          .
      
    2. security certificate signコマンドを使用して、ルートCAでCSRに署名します。
      署名済み証明書のデフォルトの形式(-format)はPEMです。形式をPKCS12に指定した場合は、-destinationパラメータを使用して、署名済み証明書のアップロード先を指定することもできます。
    3. プロンプトが表示されたら、CSRを入力してEnterキーを押します。
      cluster1::> security certificate sign -vserver vs1 -ca lab.companyname.com -ca-serial 50F84392
      
      Please enter Certificate Signing Request (CSR): Press <enter> when done
      
      -----BEGIN CERTIFICATE REQUEST-----
      MIICrTCCAZUCAQAwaDEcMBoGA1UEAxMTQ1NSLlNpZ25pbmdUZXN0LmNvbTELMAkG
      A1UEBhMCVVMxCTAHBgNVBAgTADEJMAcGA1UEBxMAMQkwBwYDVQQKEwAxCTAHBgNV
      BAsTADEPMA0GCSqGSIb3DQEJARYAMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB
      ...
      -----END CERTIFICATE REQUEST-----
      
      
      Signed Certificate: :
      -----BEGIN CERTIFICATE-----
      MIIDmzCCAoOgAwIBAgIEU9e2rzANBgkqhkiG9w0BAQsFADBoMRwwGgYDVQQDExNO
      ZXcuQ29tcGFueU5hbWUuY29tMQswCQYDVQQGEwJVUzEJMAcGA1UECBMAMQkwBwYD
      VQQHEwAxCTAHBgNVBAoTADEJMAcGA1UECxMAMQ8wDQYJKoZIhvcNAQkBFgAwHhcN
      ...
      -----END CERTIFICATE-----
      
      
      署名済み証明書が表示されます。証明書のコピーは保管しておいてください。
  5. サードパーティのCAがCSRに署名する場合は、次の手順を実行します。
    1. CSR出力から証明書要求(手順3)をコピーし、デジタル形式(Eメールなど)で信頼できるCAに送信して署名を求めます。
      要求が処理されると、署名済みのデジタル証明書がCAから返信されます。秘密鍵とCA署名デジタル証明書のコピーは今後の参照用として保管しておいてください。
    2. クラスタまたはSVMで、security certificate installコマンドに-type client-caパラメータを指定して使用して、ルート証明書および証明書に署名したCAの各中間証明書をインストールします。
      cluster1::> security certificate install -vserver vs1 -type client-ca
      
      
      Please enter Certificate: Press <Enter> when done
      -----BEGIN CERTIFICATE-----
      MIIDNjCCAp+gAwIBAgIQNhIilsXjOKUgodJfTNcJVDANBgkqhkiG9w0BAQUFADCB
      zjELMAkGA1UEBhMCWkExFTATBgNVBAgTDFdlc3Rlcm4gQ2FwZTESMBAGA1UEBxMJ
      Q2FwZSBUb3duMR0wGwYDVQQKExRUaGF3dGUgQ29uc3VsdGluZyBjYzEoMCYGA1UE
      ...
      -----END CERTIFICATE-----
      
      You should keep a copy of the CA-signed digital certificate for future reference.
      
      
  6. 自己署名証明書またはCA署名証明書をユーザに渡して、クライアントにインストールするよう依頼します。
  7. 認証するクライアントごとに、手順36を繰り返します。
  8. デジタル証明書で認証するユーザが設定されていない場合は、security login createコマンドと、certに設定した–authmethodパラメータを使用して、ユーザを個別に追加します。
    クラスタ ユーザ アカウントの場合、デジタル証明書による認証は、httpおよびontapiアクセス方式(–application)でのみサポートされています。SVMユーザ アカウントの場合、デジタル証明書による認証は、ontapiアクセス方式でのみサポートされています。

    security login showコマンドを使用して、ユーザのログイン方法を表示できます。