如何使用配置的外部密钥管理器替换集群上的 SSL 证书
适用场景
- Data ONTAP 8
- ONTAP 9
- 外部密钥管理器
问题描述
外部密钥管理服务器是存储环境中的第三方系统、它使用密钥管理互操作性协议( KMIP )为节点提供身份验证密钥。 集群和 KMIP 服务器使用 KMIP SSL 证书来验证彼此的身份并建立 SSL 连接。
开始之前
- 必须在创建证书的服务器、 KMIP 服务器和集群上同步时间
- 将当前证书备份到“关闭”框中。
- 如果不生成新的验证密钥、则必须使用当前安装的 NSE 私钥( client_private.key )生成续订证书签名请求( client.CSR )
- Client.CSR 文件必须发送到 CA 以进行签名、并且一旦签名就成为 NSE 公共证书( client.pem )
- 您必须已获得 KMIP 服务器 (CA.pem) 的根证书颁发机构 (CA) 的 CA 公共证书
- 使用安装了 OpenSSL 且能够与 KMIP 服务器通信的任何计算机验证 PEM 文件。
注意:在集群上安装证书之前或之后,您可以在 KMIP 服务器上安装客户端和服务器证书。