ONTAP 中的证书信任库是什么?
适用场景
- ONTAP 9
- AutoSupport
问题解答
什么是证书信任库?
从 ONTAP 9.2 开始,在 ONTAP 的证书管理中引入了一组可信根 CA 证书,以便管理 SVM 可以允许在 ONTAP 中运行的应用程序无缝地与外部实体建立 TLS 连接。每个证书都有一个与其关联的失效日期。
何时安装信任存储库证书?
在 ONTAP 9.2 安装期间或升级到 ONTAP 9.2 期间、仅在管理员 SVM 上安装信任存储库证书。
如何查看已安装的信任库证书?
您可以使用安全证书 show 命令查看安装在管理 SVM 上的信任存储库证书:security certificate show -vserver * -type server-ca
注:security certificate show -vserver * -type server-ca
将显示用户安装的证书以及信任存储库证书。 在 ONTAP 9.4 及更高版本中,security certificate show-truststore
只能用于查看默认的信任存储区证书。
ONTAP 9 文档中心
- 显示默认信任库证书:安全证书显示信任库
- 显示用户安装的证书:显示安全性证书 - 用户安装
如果信任存储库证书过期会发生什么情况?
如果可信存储区证书过期、您可以决定将其删除或单独保留。在每个 ONTAP 版本中,将根据需要自动更新信任存储库证书。
错误 1245418 中也对此进行了说明。
EMS 将报告以下内容
到期前 30 天开始:
示例:
Tue Jul 09 00:00:01 CEST [node-name: mgwd: mgmtgwd.certificate.expiring:error]: A digital certificate with Fully Qualified Domain Name (FQDN) UTN-USERFirst-Hardware, Serial Number 44BE0C8B500024B411D3362AFE650AFD, Certificate Authority 'UTN-USERFirst-Hardware' and type server-ca for Vserver ADMIN-SVM will expire in the next 0 day(s).
目前已知有三个证书,已于 2019 年 7 月到期。NetApp 已对这些信任存储库证书进行了审核,可以安全地删除这些证书。
Name of Vserver Netapp1
FQDN or Custom Common Name Class2PrimaryCA
Serial Number of Certificate 85BD4BF3D8DAE369F694D75FC3A54423
Certificate Authority Class 2 Primary CA
Type of Certificate server-ca
Certificate Expiration Date Sat Jul 06 18:59:59 2019
Protocol SSL
Hashing Function SHA1
Name of Vserver Netapp1
FQDN or Custom Common Name DeutscheTelekomRootCA2
Serial Number of Certificate 26
Certificate Authority Deutsche Telekom Root CA 2
Type of Certificate server-ca
Certificate Expiration Date Tue Jul 09 18:59:00 2019
Protocol SSL
Hashing Function SHA1
Name of Vserver Netapp1
FQDN or Custom Common Name UTN-USERFirst-Hardware
Serial Number of Certificate 44BE0C8B500024B411D3362AFE650AFD
Certificate Authority UTN-USERFirst-Hardware
Type of Certificate server-ca
Certificate Expiration Date Tue Jul 09 13:19:22 2019
Protocol SSL
Hashing Function SHA1
根据错误解决方法、使用命令'security certificate delete'
示例删除证书:
::> set advanced
::*>security certificate delete -vserver
-common-name Class2PrimaryCA -type server-ca -ca "Class 2 Primary CA" -serial 5BD4BF3D8DAE369F694D75FC3A54423
注意: "tab" 将自动完成 -serial
、并 -ca
应包含在报价中
如果删除信任存储库证书会发生什么情况?
在大多数情况下,过期的证书可能未使用。删除信任存储库证书可能会导致某些ONTAP 应用程序无法按预期运行(例如:AutoSupport 或System Manager)。
是否可以创建新的到期日期的信任库证书?
否、新证书必须由证书颁发机构在技术上重新颁发、然后重新安装。但是,如上所述、信任存储库证书将根据需要作为每个 ONTAP 版本的一部分自动更新。