跳转到主内容

ONTAP 中的证书信任库是什么?

Views:
78
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
core
Last Updated:

适用场景

  • ONTAP 9
  • AutoSupport

问题解答

什么是证书信任库?

从 ONTAP 9.2 开始,在 ONTAP 的证书管理中引入了一组可信根 CA 证书,以便管理 SVM 可以允许在 ONTAP 中运行的应用程序无缝地与外部实体建立 TLS 连接。每个证书都有一个与其关联的失效日期。 

何时安装信任存储库证书?

在 ONTAP 9.2 安装期间或升级到 ONTAP 9.2 期间、仅在管理员 SVM 上安装信任存储库证书。

如何查看已安装的信任库证书?

您可以使用安全证书 show 命令查看安装在管理 SVM 上的信任存储库证书:security certificate show -vserver * -type server-ca

注:security certificate show -vserver * -type server-ca将显示用户安装的证书以及信任存储库证书。 在 ONTAP 9.4 及更高版本中,security certificate show-truststore 只能用于查看默认的信任存储区证书。

ONTAP 9 文档中心

如果信任存储库证书过期会发生什么情况?

如果可信存储区证书过期、您可以决定将其删除或单独保留。在每个 ONTAP 版本中,将根据需要自动更新信任存储库证书。
错误 1245418 中也对此进行了说明。

EMS 将报告以下内容

到期前 30 天开始:

示例:
Tue Jul 09 00:00:01 CEST [node-name: mgwd: mgmtgwd.certificate.expiring:error]: A digital certificate with Fully Qualified Domain Name (FQDN) UTN-USERFirst-Hardware, Serial Number 44BE0C8B500024B411D3362AFE650AFD, Certificate Authority 'UTN-USERFirst-Hardware' and type server-ca for Vserver ADMIN-SVM will expire in the next 0 day(s).

目前已知有三个证书,已于 2019 年 7 月到期。NetApp 已对这些信任存储库证书进行了审核,可以安全地删除这些证书。 

Name of Vserver Netapp1
FQDN or Custom Common Name Class2PrimaryCA
Serial Number of Certificate 85BD4BF3D8DAE369F694D75FC3A54423
Certificate Authority Class 2 Primary CA
Type of Certificate server-ca
Certificate Expiration Date Sat Jul 06 18:59:59 2019
Protocol SSL
Hashing Function SHA1
 
Name of Vserver Netapp1
FQDN or Custom Common Name DeutscheTelekomRootCA2
Serial Number of Certificate 26
Certificate Authority Deutsche Telekom Root CA 2
Type of Certificate server-ca
Certificate Expiration Date Tue Jul 09 18:59:00 2019
Protocol SSL
Hashing Function SHA1
 
Name of Vserver Netapp1
FQDN or Custom Common Name UTN-USERFirst-Hardware
Serial Number of Certificate 44BE0C8B500024B411D3362AFE650AFD
Certificate Authority UTN-USERFirst-Hardware
Type of Certificate server-ca
Certificate Expiration Date Tue Jul 09 13:19:22 2019
Protocol SSL
Hashing Function SHA1

根据错误解决方法、使用命令'security certificate delete'
示例删除证书:
::>security certificate delete -vserver -common-name Class2PrimaryCA -type server-ca -ca "Class 2 Primary CA" -serial will complete the serial number
 ::>security certificate delete -vserver -common-name Class2PrimaryCA -type server-ca -ca "Class 2 Primary CA" -serial 5BD4BF3D8DAE369F694D75FC3A54423

如果删除信任存储库证书会发生什么情况?

在大多数情况下,过期的证书可能未使用。删除信任存储库证书可能会导致某些 ONTAP 应用程序无法正常运行(例如: AutoSupport )。

是否可以创建新的到期日期的信任库证书?

否、新证书必须由证书颁发机构在技术上重新颁发、然后重新安装。但是,如上所述、信任存储库证书将根据需要作为每个 ONTAP 版本的一部分自动更新。