跳转到主内容
NetApp Response to Russia-Ukraine Cyber Threat
In response to the recent rise in cyber threat due to the Russian-Ukraine crisis, NetApp is actively monitoring the global security intelligence and updating our cybersecurity measures. We follow U.S. Federal Government guidance and remain on high alert. Customers are encouraged to monitor the Cybersecurity and Infrastructure Security (CISA) website for new information as it develops and remain on high alert.

ONTAP 中的证书信任库是什么?

Views:
87
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
core
Last Updated:

适用场景

  • ONTAP 9
  • AutoSupport

问题解答

什么是证书信任库?

从 ONTAP 9.2 开始,在 ONTAP 的证书管理中引入了一组可信根 CA 证书,以便管理 SVM 可以允许在 ONTAP 中运行的应用程序无缝地与外部实体建立 TLS 连接。每个证书都有一个与其关联的失效日期。 

何时安装信任存储库证书?

在 ONTAP 9.2 安装期间或升级到 ONTAP 9.2 期间、仅在管理员 SVM 上安装信任存储库证书。

如何查看已安装的信任库证书?

您可以使用安全证书 show 命令查看安装在管理 SVM 上的信任存储库证书:security certificate show -vserver * -type server-ca

注:security certificate show -vserver * -type server-ca将显示用户安装的证书以及信任存储库证书。 在 ONTAP 9.4 及更高版本中,security certificate show-truststore 只能用于查看默认的信任存储区证书。

ONTAP 9 文档中心

如果信任存储库证书过期会发生什么情况?

如果可信存储区证书过期、您可以决定将其删除或单独保留。在每个 ONTAP 版本中,将根据需要自动更新信任存储库证书。
错误 1245418 中也对此进行了说明。

EMS 将报告以下内容

到期前 30 天开始:

示例:
Tue Jul 09 00:00:01 CEST [node-name: mgwd: mgmtgwd.certificate.expiring:error]: A digital certificate with Fully Qualified Domain Name (FQDN) UTN-USERFirst-Hardware, Serial Number 44BE0C8B500024B411D3362AFE650AFD, Certificate Authority 'UTN-USERFirst-Hardware' and type server-ca for Vserver ADMIN-SVM will expire in the next 0 day(s).

目前已知有三个证书,已于 2019 年 7 月到期。NetApp 已对这些信任存储库证书进行了审核,可以安全地删除这些证书。 

Name of Vserver Netapp1
FQDN or Custom Common Name Class2PrimaryCA
Serial Number of Certificate 85BD4BF3D8DAE369F694D75FC3A54423
Certificate Authority Class 2 Primary CA
Type of Certificate server-ca
Certificate Expiration Date Sat Jul 06 18:59:59 2019
Protocol SSL
Hashing Function SHA1
 
Name of Vserver Netapp1
FQDN or Custom Common Name DeutscheTelekomRootCA2
Serial Number of Certificate 26
Certificate Authority Deutsche Telekom Root CA 2
Type of Certificate server-ca
Certificate Expiration Date Tue Jul 09 18:59:00 2019
Protocol SSL
Hashing Function SHA1
 
Name of Vserver Netapp1
FQDN or Custom Common Name UTN-USERFirst-Hardware
Serial Number of Certificate 44BE0C8B500024B411D3362AFE650AFD
Certificate Authority UTN-USERFirst-Hardware
Type of Certificate server-ca
Certificate Expiration Date Tue Jul 09 13:19:22 2019
Protocol SSL
Hashing Function SHA1

根据错误解决方法、使用命令'security certificate delete'
示例删除证书:
::>security certificate delete -vserver -common-name Class2PrimaryCA -type server-ca -ca "Class 2 Primary CA" -serial will complete the serial number
 ::>security certificate delete -vserver -common-name Class2PrimaryCA -type server-ca -ca "Class 2 Primary CA" -serial 5BD4BF3D8DAE369F694D75FC3A54423

如果删除信任存储库证书会发生什么情况?

在大多数情况下,过期的证书可能未使用。删除信任存储库证书可能会导致某些 ONTAP 应用程序无法正常运行(例如: AutoSupport )。

是否可以创建新的到期日期的信任库证书?

否、新证书必须由证书颁发机构在技术上重新颁发、然后重新安装。但是,如上所述、信任存储库证书将根据需要作为每个 ONTAP 版本的一部分自动更新。

 

Scan to view the article on your device