跳转到主内容

在 Element Software 中设置自定义 SSL 证书有哪些要求?

Views:
19
Visibility:
Public
Votes:
0
Category:
element-software
Specialty:
solidfire
Last Updated:

适用场景

  • Element 软件版本 12.2 及更高版本
  • Element 管理节点( mNode )

问题解答

默认情况下, Element 软件及其关联管理节点( mNode )会随附从 12.2 版开始满足以下要求的证书。

证书要求
  • 为存储集群创建的唯一SSL证书
  •  cert commonName字段必须是FQDN中的集群名称或短名称
  • 主题备用名称必须包含MVIP的FQDN 
  • 它不能包含其他系统的其他FQDN。
    • nslookup /MVIP]必须返回FQDN 
    • nslookup FQDN必须返回MVIP
  • PEM 编码( x509 )
  • 已设置 ExtendedKeyUsage ( EKU )( X509v3 )
  • 证书长度为 2048 位或更多(这是用于多因素身份验证( Multifactor Authentication , MFA )的要求

默认证书为自签名证书。自定义证书(例如,由第三方证书颁发机构( CA )签名的证书)可以安装在 Element 存储集群及其随附的 mNode 上,前提是它们满足上述要求。

环境要求

确保网络路径中的任何防火墙都允许安装此证书。

要检查证书策略的 URL 是否允许 / 添加到防火墙的异常列表中,请执行以下操作:

  • 在 Web broswer. 程序中,查看集群 UI 中的证书
  • 单击 Web 浏览器中的锁定图标,然后选择证书 > 证书路径 > 组织的证书
  • 在弹出的窗口中,选择详细信息 > 证书策略
  • 此证书策略的 URL 应位于底部—防火墙需要允许此 URL
  • 在从所有存储节点的MIP到CA服务器的端口http (80)上启用固件规则
设置自定义证书

获取自定义证书后,可以在 Element 集群和 mNode 上通过各种 API 驱动的方法设置自定义证书。请参见,例如:

追加信息

相关主题

有关将 MFA 与 Element 软件结合使用的信息,请参见Element 多因素身份验证指南位于何处?

有关将 FIPS 与 Element 软件结合使用的信息,请参见在集群上为 HTTPS 启用 FIPS 140-2

有关 Element 上的 SSL 上下文中的密码的信息,请参见指南中的 "TLS 和 SSL" 一节,该节链接自HCI 加固指南的位置?

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.