AIQUM使用哪些证书、过期后会产生什么影响以及如何重新生成？

适用场景

问题解答

• SSL (HTTPS)证书

类型	server-ca
生成者	AIQUM
存储在中	AIQUM/ ONTAP
目的	通过浏览器在HTTP/HTTPS连接中对AIQUM服务器进行身份验证 注意：AIQUM会在添加集群时将此证书安装到ONTAP中
过期时的影响	AIQUM无法添加ONTAP集群、如 AIQUM HTTPS证书过期后无法通过HTTPS添加ONTAP集群中所述 访问AIQUM可能会收到警告或被阻止、具体取决于浏览器及其设置 ONTAP报告 mgmtgwd.certificate.expired
如何重新生成	生成 HTTPS 安全证书 在维护控制台中选择重置服务器证书
有效期	默认情况下为397天、另请参见生成HTTPS安全证书

 

• EMS 证书

类型	client
生成者	AIQUM
存储在中	AIQUM/ ONTAP
目的	对从ONTAP收到的用于 订阅ONTAP EMS事件的EMS通知进行身份验证 注意：AIQUM会在添加集群时将此证书安装到ONTAP中
过期时的影响	AIQUM无法按无法 添加集群中所述添加ONTAP集群、或者由于客户端证书过期、AIQUM上现有集群的采集失败 由于AIQUM客户端证书过期、导致出现错误mgmtwd.certifice.expired
如何重新生成	Please contact NetApp Technical Support or log into the NetApp Support Site to create a technical case. Reference this article for further assistance.
有效期	5年

 

• 用于相互TLS通信的证书

类型	client-ca
生成者	AIQUM
存储在中	AIQUM/ ONTAP
目的	在采集AIQUM数据期间通过基于证书的身份验证对ONTAP集群进行身份验证。 注意：AIQUM会在添加集群时将此证书安装到ONTAP中
过期时的影响	AIQUM无法监控ONTAP 集群、如AIQUM中的集群采集因用于相互TLS通信的CA证书过期而失败所述 ONTAP报告Active IQ Unified Manager client-ca证书的mgmtwd.certifice.tirting
如何重新生成	按照 由于用于相互TLS通信的CA证书过期而导致AIQUM中的集群采集失败中所述的步骤进行操作
有效期	1年，另见CAIQUM-5794

 

• 集群证书

类型	服务器
生成者	ONTAP
存储在中	ONTAP
目的	添加ONTAP集群时对ONTAP集群进行身份验证
过期时的影响	AIQUM无法 添加或编辑ONTAP集群、如AIQUM无法添加集群并显示自签名SSL证书已过期错误中所述 事件日志中的错误消息"mgmtgwd.certifice.expired" 性能数据收集可能会失败、如 Unified Manager性能收集失败中所述、因为集群证书已过期 注意： 从 ONTAP集群角度来看、另请参见用于Vserver的数字证书过期会产生什么影响
如何重新生成	如何在ONTAP 9中续订自签名SSL证书
有效期	默认情况下为1年、另请参见《ONTAP 9 -解决方案指南》中的续订TLS/SSL证书

 

注意： 可以使用ONTAP security certificATE show命令的-type 参数来查找证书类型

::> security certificate show -type server-ca

Vserver   Serial Number   Certificate Name             Type
---------- --------------- -------------------------------------- ------------
cluster1   85589F65349650BE
              aiqum.demo.netapp.com_85589F65349650BE server-ca
   Certificate Authority: demo.netapp.com
      Expiration Date: Fri Nov 01 21:06:11 2058

追加信息