クラスタまたはSVMをSSLクライアントとして認証するためのクライアント証明書のインストール

SSLサーバでクラスタまたはStorage Virtual Machine(SVM)をSSLクライアントとして認証するためには、clientタイプのデジタル証明書をクラスタまたはSVMにインストールします。次に、client-ca証明書をそのSSLサーバの管理者に渡してインストールしてもらいます。

始める前に

SSLサーバのルート証明書を、クラスタまたはSVM上にserver-ca証明書タイプでインストールしておく必要があります。

手順

  1. クライアント認証に自己署名デジタル証明書を使用する場合は、security certificate createコマンドに-type clientパラメータを指定して使用します。
  2. クライアント認証にCA署名デジタル証明書を使用する場合は、次の手順を実行します。
    1. security certificate generate-csrコマンドを使用して、証明書署名要求(CSR)を生成します。
      証明書要求と秘密鍵を含むCSR出力が表示され、今後の参照用にファイルにコピーするよう求められます。
    2. CSR出力の証明書要求をデジタル形式(Eメールなど)で信頼できるCAに送信し、署名を求めます。
      要求が処理されると、署名済みのデジタル証明書がCAから返信されます。秘密鍵とCA署名証明書のコピーは今後の参照用として保管しておいてください。
    3. security certificate installコマンドに-type clientパラメータを指定して使用し、CA署名証明書をインストールします。
    4. プロンプトが表示されたら証明書と秘密鍵を入力し、Enterキーを押します。
    5. プロンプトが表示されたら追加のルート証明書または中間証明書を入力し、Enterキーを押します。
      信頼できるルートCAから発行されたSSL証明書に至る証明書チェーンに中間証明書がない場合は、クラスタまたはSVMに中間証明書をインストールします。中間証明書は、エンド エンティティのサーバ証明書を発行する目的で信頼できるルートから発行される、副次的な証明書です。この結果、信頼できるルートCAから始まり、中間証明書を経て、発行されたSSL証明書で終わる証明書チェーンが形成されます。
  3. クラスタまたはSVMclient-ca証明書をSSLサーバの管理者に渡してインストールしてもらいます。

    security certificate showコマンドに-instanceパラメータおよび-type client-caパラメータを指定して実行すると、client-ca証明書の情報が表示されます。

クラスタまたはSVMをSSLクライアントとして認証するためのクライアント証明書のインストール例

次の例では、ある企業(カスタム共通名lab.companyname.com)で、「vs1」 SVMに対して自己署名クライアント証明書が作成されます。この証明書は、「vs1」 SVMをSSLクライアントとして認証するためのものです。

cluster1::> security certificate create -vserver vs1 -common-name lab.companyname.com -type client

次のコマンドでは、米国カリフォルニア州のサニーベールに所在する企業(カスタム共通名lab.companyname.com)のIT部門のソフトウェア グループが使用する、2,048ビット秘密鍵が設定されたCSRを作成します。SVMを管理する担当者のEメール アドレスは、web@companyname.comです。CSRと秘密鍵がコンソールに表示されます。

cluster1::> security certificate generate-csr -common-name lab.companyname.com 
-size 2048 -country US -state CA -locality Sunnyvale -organization IT 
-unit Software -email-addr web@companyname.com

Certificate Signing Request: 
-----BEGIN CERTIFICATE REQUEST-----
MIICrjCCAZYCAQMwaTEQMA4GA1UEAxMHcnRwLmNvbTELMAkGA1UEBhMCVVMxCzAJ
BgNVBAgTAk5DMQwwCgYDVQQHEwNSVFAxDTALBgNVBAoTBGNvcmUxDTALBgNVBAsT
BGNvcmUxDzANBgkqhkiG9w0BCQEWADCCASIwDQYJKoZIhvcNAQEBBQADggEPADCC
...
-----END CERTIFICATE REQUEST-----


Private Key:
-----BEGIN RSA PRIVATE KEY-----
MIIBPAIBAAJBAMl6ytrK8nQj82UsWeHOeT8gk0BPX+Y5MLycsUdXA7hXhumHNpvF
C61X2G32Sx8VEa1th94tx+vOEzq+UaqHlt0CAwEAAQJBAMZjDWlgmlm3qIr/n8VT
PFnnZnbVcXVM7OtbUsgPKw+QCCh9dF1jmuQKeDr+wUMWknlDeGrfhILpzfJGHrLJ
...
-----END RSA PRIVATE KEY-----
 
Note: Please keep a copy of your private key and certificate request for future reference. 

次のコマンドは、「vs1」 SVMのCA署名クライアント証明書をインストールします。この証明書は、「vs1」 SVMをSSLクライアントとして認証するためのものです。

cluster1::> security certificate install -vserver vs1 -type client
 
Please enter Certificate: Press <Enter> when done
-----BEGIN CERTIFICATE-----
MIIB8TCCAZugAwIBAwIBADANBgkqhkiG9w0BAQQFADBfMRMwEQYDVQQDEwpuZXRh
cHAuY29tMQswCQYDVQQGEwJVUzEJMAcGA1UECBMAMQkwBwYDVQQHEwAxCTAHBgNV
BAoTADEJMAcGA1UECxMAMQ8wDQYJKoZIhvcNAQkBFgAwHhcNMTAwNDI2MTk0OTI4
...
-----END CERTIFICATE-----


Please enter Private Key: Press <Enter> when done
-----BEGIN RSA PRIVATE KEY-----
MIIBPAIBAAJBAMl6ytrK8nQj82UsWeHOeT8gk0BPX+Y5MLycsUdXA7hXhumHNpvF
C61X2G32Sx8VEa1th94tx+vOEzq+UaqHlt0CAwEAAQJBAMZjDWlgmlm3qIr/n8VT
PFnnZnbVcXVM7OtbUsgPKw+QCCh9dF1jmuQKeDr+wUMWknlDeGrfhILpzfJGHrLJ
...
-----END RSA PRIVATE KEY-----


Please enter certificates of Certification Authorities (CA) which form the 
certificate chain of the client certificate. This starts with the issuing 
CA certificate of the client certificate and can range up to the root CA certificate.

Do you want to continue entering root and/or intermediate certificates {y|n}: y

Please enter Intermediate Certificate: Press <Enter> when done
-----BEGIN CERTIFICATE-----
MIIE+zCCBGSgAwIBAgICAQ0wDQYJKoZIhvcNAQEFBQAwgbsxJDAiBgNVBAcTG1Zh
bGlDZXJ0IFZhbGlkYXRpb24gTmV0d29yazEXMBUGA1UEChMOVmFsaUNlcnQsIElu
Yy4xNTAzBgNVBAsTLFZhbGlDZXJ0IENsYXNzIDIgUG9saWN5IFZhbGlkYXRpb24g
...
-----END CERTIFICATE-----


Do you want to continue entering root and/or intermediate certificates {y|n}: n

Note: You should keep a copy of your certificate and private key for future reference. 
If you revert to an earlier release, the certificate and private key are deleted.