ONTAP 中的证书信任库是什么？

最后更新
另存为PDF

Views:: 133

Visibility:: Public

Votes:: 0

Category:: ontap-9

Specialty:: core

Last Updated:

适用场景

ONTAP 9
AutoSupport

问题解答

什么是证书信任库？

从 ONTAP 9.2 开始，在 ONTAP 的证书管理中引入了一组可信根 CA 证书，以便管理 SVM 可以允许在 ONTAP 中运行的应用程序无缝地与外部实体建立 TLS 连接。每个证书都有一个与其关联的失效日期。

何时安装信任存储库证书？

在 ONTAP 9.2 安装期间或升级到 ONTAP 9.2 期间、仅在管理员 SVM 上安装信任存储库证书。

如何查看已安装的信任库证书？

您可以使用安全证书 show 命令查看安装在管理 SVM 上的信任存储库证书：security certificate show -vserver * -type server-ca

注：security certificate show -vserver * -type server-ca将显示用户安装的证书以及信任存储库证书。在 ONTAP 9.4 及更高版本中，security certificate show-truststore 只能用于查看默认的信任存储区证书。

ONTAP 9 文档中心

显示默认信任库证书：安全证书显示信任库
显示用户安装的证书：显示安全性证书 - 用户安装

如果信任存储库证书过期会发生什么情况？

如果可信存储区证书过期、您可以决定将其删除或单独保留。在每个 ONTAP 版本中，将根据需要自动更新信任存储库证书。
错误 1245418 中也对此进行了说明。

EMS 将报告以下内容

到期前 30 天开始：

示例：
Tue Jul 09 00:00:01 CEST [node-name: mgwd: mgmtgwd.certificate.expiring:error]: A digital certificate with Fully Qualified Domain Name (FQDN) UTN-USERFirst-Hardware, Serial Number 44BE0C8B500024B411D3362AFE650AFD, Certificate Authority 'UTN-USERFirst-Hardware' and type server-ca for Vserver ADMIN-SVM will expire in the next 0 day(s).

目前已知有三个证书，已于 2019 年 7 月到期。NetApp 已对这些信任存储库证书进行了审核，可以安全地删除这些证书。

Name of Vserver Netapp1 FQDN or Custom Common Name Class2PrimaryCA Serial Number of Certificate 85BD4BF3D8DAE369F694D75FC3A54423 Certificate Authority Class 2 Primary CA Type of Certificate server-ca Certificate Expiration Date Sat Jul 06 18:59:59 2019 Protocol SSL Hashing Function SHA1 Name of Vserver Netapp1 FQDN or Custom Common Name DeutscheTelekomRootCA2 Serial Number of Certificate 26 Certificate Authority Deutsche Telekom Root CA 2 Type of Certificate server-ca Certificate Expiration Date Tue Jul 09 18:59:00 2019 Protocol SSL Hashing Function SHA1 Name of Vserver Netapp1 FQDN or Custom Common Name UTN-USERFirst-Hardware Serial Number of Certificate 44BE0C8B500024B411D3362AFE650AFD Certificate Authority UTN-USERFirst-Hardware Type of Certificate server-ca Certificate Expiration Date Tue Jul 09 13:19:22 2019 Protocol SSL Hashing Function SHA1

根据错误解决方法、使用命令'security certificate delete'
示例删除证书：

::> set advanced
::*>security certificate delete -vserver -common-name Class2PrimaryCA -type server-ca -ca "Class 2 Primary CA" -serial 5BD4BF3D8DAE369F694D75FC3A54423

注意： "tab" 将自动完成 -serial 、并 -ca 应包含在报价中

如果删除信任存储库证书会发生什么情况？

在大多数情况下，过期的证书可能未使用。删除信任存储库证书可能会导致某些ONTAP 应用程序无法按预期运行(例如：AutoSupport 或System Manager)。

是否可以创建新的到期日期的信任库证书？

否、新证书必须由证书颁发机构在技术上重新颁发、然后重新安装。但是，如上所述、信任存储库证书将根据需要作为每个 ONTAP 版本的一部分自动更新。