クラスタまたはStorage Virtual Machine(SVM)がアクセスを求めるクライアントを認証できるようにするには、クライアントの証明書署名要求(CSR)に署名したCAのルート証明書用に、client-caタイプのデジタル証明書をクラスタまたはSVMにインストールします。root-caタイプのルートCA証明書をクラスタまたはSVM上に作成し、クライアントのCSRに自己署名することもできます。
SSLクライアントの認証を有効にする場合、SSLサーバ認証も有効にする必要があります(デフォルト)。security ssl showコマンドを実行すると、設定が表示されます。
cluster1::> security certificate create -vserver vs1 -common-name lab.companyname.com -type root-ca
cluster1::> security certificate generate-csr -common-name vs1admin
Certificate Signing Request :
-----BEGIN CERTIFICATE REQUEST-----
MIICojCCAYoCAQAwXTERMA8GA1UEAxMIdnMxYWRtaW4xCzAJBgNVBAYTAlVTMQkw
BwYDVQQIEwAxCTAHBgNVBAcTADEJMAcGA1UEChMAMQkwBwYDVQQLEwAxDzANBgkq
hkiG9w0BCQEWADCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAL6ohdT5
...
-----END CERTIFICATE REQUEST-----
Private Key :
-----BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEAvqiF1PmYy1Vtmkf6I8+mRXOy/m+3m/O1sEjUILbopzTlTu92
igqEzDY4W6q7KoRkcSa2x/Zn6IRlqxKrQbvUAJvAUDhcV7bn9NAzv9JE1j/6+0RY
IVR6Hr6QnCRSsjlLDxBnV3uZu8WNghpbIL98QP4oxwFu7G0HQsOleO3HMazOFyvW
...
-----END RSA PRIVATE KEY-----
Note: Please keep a copy of your certificate request and private key for future reference.
cluster1::> security certificate show -instance -vserver vs1 -type root-ca
Vserver: vs1
FQDN or Custom Common Name: lab.companyname.com
Serial Number of Certificate: 50F84392
Certificate Authority: lab.companyname.com
Type of Certificate: root-ca
Size of Requested Certificate(bits): 2048
Certificate Start Date: Wed Jun 25 13:29:16 2014
Certificate Expiration Date: Thu Jun 25 13:29:16 2015
Public Key Certificate: -----BEGIN CERTIFICATE-----
MIID+zCCAuOgAwIBAgIEUPhDkjANBgkqhkiG9w0BAQsFADBbMQ8wDQYDVQQDEwZt
.
.
.
cluster1::> security certificate sign -vserver vs1 -ca lab.companyname.com -ca-serial 50F84392
Please enter Certificate Signing Request (CSR): Press <enter> when done
-----BEGIN CERTIFICATE REQUEST-----
MIICrTCCAZUCAQAwaDEcMBoGA1UEAxMTQ1NSLlNpZ25pbmdUZXN0LmNvbTELMAkG
A1UEBhMCVVMxCTAHBgNVBAgTADEJMAcGA1UEBxMAMQkwBwYDVQQKEwAxCTAHBgNV
BAsTADEPMA0GCSqGSIb3DQEJARYAMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB
...
-----END CERTIFICATE REQUEST-----
Signed Certificate: :
-----BEGIN CERTIFICATE-----
MIIDmzCCAoOgAwIBAgIEU9e2rzANBgkqhkiG9w0BAQsFADBoMRwwGgYDVQQDExNO
ZXcuQ29tcGFueU5hbWUuY29tMQswCQYDVQQGEwJVUzEJMAcGA1UECBMAMQkwBwYD
VQQHEwAxCTAHBgNVBAoTADEJMAcGA1UECxMAMQ8wDQYJKoZIhvcNAQkBFgAwHhcN
...
-----END CERTIFICATE-----
cluster1::> security certificate install -vserver vs1 -type client-ca
Please enter Certificate: Press <Enter> when done
-----BEGIN CERTIFICATE-----
MIIDNjCCAp+gAwIBAgIQNhIilsXjOKUgodJfTNcJVDANBgkqhkiG9w0BAQUFADCB
zjELMAkGA1UEBhMCWkExFTATBgNVBAgTDFdlc3Rlcm4gQ2FwZTESMBAGA1UEBxMJ
Q2FwZSBUb3duMR0wGwYDVQQKExRUaGF3dGUgQ29uc3VsdGluZyBjYzEoMCYGA1UE
...
-----END CERTIFICATE-----
You should keep a copy of the CA-signed digital certificate for future reference.
security login showコマンドを使用して、ユーザのログイン方法を表示できます。