クラスタまたはSVMをSSLサーバとして認証するためのサーバ証明書のインストール

クラスタまたはStorage Virtual Machine(SVM)がSSLサーバとして認証されるようにするためには、serverタイプのデジタル証明書をクラスタまたはSVMにインストールします。自己署名証明書またはCA署名証明書のいずれかをインストールできます。

このタスクについて

クラスタまたはSVMを作成すると、そのクラスタまたはSVMの名前を共通名とする自己署名サーバ証明書が自動的に作成されます。対応するSSLサーバ認証が有効になり、同様にクラスタまたはSVMのデフォルトの共通名が使用されます。

クラスタまたはSVMに別の共通名を使用する場合、またはサーバ認証にCA署名証明書を使用する場合は、サーバ証明書を追加で作成またはインストールすることができます。また、指定したサーバ証明書を使用するようにSSL設定を変更することもできます。

手順

  1. サーバ認証用の自己署名デジタル証明書を作成するには、security certificate createコマンドに-type serverパラメータを指定して使用します。
  2. サーバ認証にサードパーティのCA署名デジタル証明書を使用するには、次の手順を実行します。
    1. security certificate generate-csrコマンドを使用して、証明書署名要求(CSR)を生成します。
      CSR出力が表示されます。この出力には証明書要求と秘密鍵が含まれています。秘密鍵のコピーは保管しておいてください。
    2. CSR出力の証明書要求をデジタル形式(Eメールなど)で信頼できるサードパーティのCAに送信し、署名を求めます。
      要求が処理されると、署名済みのデジタル証明書がCAから返信されます。秘密鍵とCA署名デジタル証明書のコピーは保管する必要があります。
    3. -type serverパラメータを指定したsecurity certificate installコマンドを使用して、サードパーティのCA署名デジタル証明書をインストールします。
    4. プロンプトが表示されたら証明書と秘密鍵を入力し、Enterキーを押します。
    5. サーバ証明書の証明書チェーンを形成するCAルート証明書と中間証明書をインストールするかどうかを尋ねられたら、「Y」を入力します。
    6. プロンプトが表示されたら追加のルート証明書または中間証明書を入力し、Enterキーを押します。
      CAの証明書は、サーバ証明書の証明書チェーンを形成するためにインストールします。チェーンは、サーバ証明書を発行したCAの証明書から始まり、CAのルート証明書まで続く場合があります。中間証明書が不足していると、サーバ証明書のインストールに失敗します。

      CA証明書の入力後、証明書チェーンがserver-chainとしてserver証明書タイプでインストールされます。

  3. サーバ認証に自己CA署名デジタル証明書を使用するには(クラスタまたはSVMがCAとして署名)、次の手順を実行します。
    1. security certificate generate-csrコマンドを使用して、CSRを生成します。
      CSR出力が表示されます。この出力には証明書要求と秘密鍵が含まれています。秘密鍵のコピーは保管しておいてください。
    2. security certificate createコマンドに-type root-caパラメータを指定して実行し、クラスタまたはSVM用の自己署名ルートCA証明書を作成します。
    3. security certificate showコマンドに-instanceパラメータおよび-type root-caパラメータを指定して使用し、ルートCA証明書を表示します。
      CSRに署名するには、コマンド出力の次の情報が必要です。
      • 認証局(CA)
      • 証明書のシリアル番号
    4. security certificate signコマンドを使用して、ルートCAでCSRに署名します。
    5. プロンプトが表示されたら、CSRを入力してEnterキーを押します。
    6. -type serverパラメータを指定したsecurity certificate installコマンドを使用して、自己CA署名デジタル証明書をインストールします。
    7. プロンプトが表示されたら証明書と秘密鍵を入力し、Enterキーを押します。
    8. サーバ証明書の証明書チェーンを形成するCAルート証明書と中間証明書をインストールするかどうかを尋ねられたら、「N」を入力します。
  4. SSL設定を変更してサーバ認証用の証明書を指定する場合、security ssl modifyコマンドに-caパラメータおよび-serialパラメータを指定して使用します。

クラスタまたはSVMをSSLサーバとして認証するためのサーバ証明書のインストール例

次の例では、ある企業(カスタム共通名lab.companyname.com)で、「vs1」 SVMに対して自己署名サーバ証明書が作成されます。この証明書は、「vs1」 SVMをSSLサーバとして認証するためのものです。

cluster1::> security certificate create -vserver vs1 -common-name lab.companyname.com -type server

次のコマンドでは、米国カリフォルニア州のサニーベールに所在する企業(カスタム共通名server1.companyname.com)のIT部門のソフトウェア グループが使用する、2,048ビット秘密鍵が設定されたCSRを作成します。SVMを管理する担当者のEメール アドレスは、web@companyname.comです。CSRと秘密鍵が出力に表示されます。

cluster1::> security certificate generate-csr -common-name server1.companyname.com 
-size 2048 -country US -state CA -locality Sunnyvale 
-organization IT -unit Software -email-addr web@companyname.com

Certificate Signing Request: 
-----BEGIN CERTIFICATE REQUEST-----
MIICrjCCAZYCAQMwaTEQMA4GA1UEAxMHcnRwLmNvbTELMAkGA1UEBhMCVVMxCzAJ
BgNVBAgTAk5DMQwwCgYDVQQHEwNSVFAxDTALBgNVBAoTBGNvcmUxDTALBgNVBAsT
BGNvcmUxDzANBgkqhkiG9w0BCQEWADCCASIwDQYJKoZIhvcNAQEBBQADggEPADCC
...
-----END CERTIFICATE REQUEST-----


Private Key:
-----BEGIN RSA PRIVATE KEY-----
MIIBPAIBAAJBAMl6ytrK8nQj82UsWeHOeT8gk0BPX+Y5MLycsUdXA7hXhumHNpvF
C61X2G32Sx8VEa1th94tx+vOEzq+UaqHlt0CAwEAAQJBAMZjDWlgmlm3qIr/n8VT
PFnnZnbVcXVM7OtbUsgPKw+QCCh9dF1jmuQKeDr+wUMWknlDeGrfhILpzfJGHrLJ
...
-----END RSA PRIVATE KEY-----
 
Note: Please keep a copy of your private key and certificate request for future reference. 

次のコマンドは、「vs1」 SVMのCA署名サーバ証明書をインストールします。この証明書は、「vs1」 SVMをSSLサーバとして認証するためのものです。

cluster1::> security certificate install -vserver vs1 -type server

Please enter Certificate: Press <Enter> when done
-----BEGIN CERTIFICATE-----
MIIB8TCCAZugAwIBAwIBADANBgkqhkiG9w0BAQQFADBfMRMwEQYDVQQDEwpuZXRh
cHAuY29tMQswCQYDVQQGEwJVUzEJMAcGA1UECBMAMQkwBwYDVQQHEwAxCTAHBgNV
BAoTADEJMAcGA1UECxMAMQ8wDQYJKoZIhvcNAQkBFgAwHhcNMTAwNDI2MTk0OTI4
...
-----END CERTIFICATE-----


Please enter Private Key: Press <Enter> when done
-----BEGIN RSA PRIVATE KEY-----
MIIBPAIBAAJBAMl6ytrK8nQj82UsWeHOeT8gk0BPX+Y5MLycsUdXA7hXhumHNpvF
C61X2G32Sx8VEa1th94tx+vOEzq+UaqHlt0CAwEAAQJBAMZjDWlgmlm3qIr/n8VT
PFnnZnbVcXVM7OtbUsgPKw+QCCh9dF1jmuQKeDr+wUMWknlDeGrfhILpzfJGHrLJ
...
-----END RSA PRIVATE KEY-----


Please enter certificates of Certification Authorities (CA) which form the 
certificate chain of the server certificate. This starts with the issuing 
CA certificate of the server certificate and can range up to the root CA certificate.

Do you want to continue entering root and/or intermediate certificates {y|n}: y

Please enter Intermediate Certificate: Press <Enter> when done
-----BEGIN CERTIFICATE-----
MIIE+zCCBGSgAwIBAgICAQ0wDQYJKoZIhvcNAQEFBQAwgbsxJDAiBgNVBAcTG1Zh
bGlDZXJ0IFZhbGlkYXRpb24gTmV0d29yazEXMBUGA1UEChMOVmFsaUNlcnQsIElu
Yy4xNTAzBgNVBAsTLFZhbGlDZXJ0IENsYXNzIDIgUG9saWN5IFZhbGlkYXRpb24g
...
-----END CERTIFICATE-----


Do you want to continue entering root and/or intermediate certificates {y|n}: n

Note: You should keep a copy of your certificate and private key for future reference. 
If you revert to an earlier release, the certificate and private key are deleted.