ONTAP如何使用HTTPS发送AutoSupport?
适用场景
- ONTAP 9
- 集群模式Data ONTAP 8.3.
- Data ONTAP 8 7-模式
- AutoSupport
- 传输HTTPS
问题解答
当ONTAP通过HTTPS协议发送AutoSupport时、它充当HTTPS客户端。
- 下图显示了HTTPS客户端尝试与服务器建立加密通信时所执行的基本步骤。
主要组件包括:
- 客户端是指启动通信并需要加密通信通道的系统。 在这种情况下、客户端是Data ONTAP存储控制器上的AutoSupport子系统。
- 服务器是提供可通过加密通信通道进行通信的服务的系统。
| AutoSupport服务器URL | 问题描述 |
|---|---|
| https://support.netapp.com/put/AsupPut | HTTP/S Put的支持URL |
| https://support.netapp.com/asupprod/post/1.0/postAsup | HTTP/HTTPS的支持URL |
| 用于AutoSupport OnDemand请求 |
- 服务器密钥库位于服务器上,包含CA签名的服务器公共证书文件和私钥文件的副本。 仅显示服务器公共证书。
- 服务器公共证书包含服务器的公共密钥以及签署服务器证书的CA的证书颁发机构(CA)公共密钥链。
- 信任存储库位于客户端上,包含我们信任的所有CA的公共密钥列表。
- Data ONTAP在
cacert.pem文件中 存储AutoSupport https客户端信任的所有CA的公共密钥、并在证书验证期间使用这些密钥。
- Data ONTAP在
下面介绍了如何建立加密通道
- https客户端连接到服务器并请求加密通信通道。
- 服务器会使用CA签名的服务器证书进行响应。 签名证书包含服务器的公共密钥以及对证书进行签名的CA的公共密钥链。
- 客户端会检查收到的服务器证书中的CA链、然后通过检查客户端的信任存储来验证CA是否可信。 在Data ONTAP中、可以设置一个设置来绕过此步骤。
A) 如果CA可信、则继续执行步骤4中的证书交换。
b) 如果CA不可信、则客户端将拒绝证书并终止连接。 - 为了相互确定会话所使用的加密算法、会发生迪夫-赫尔曼(DH)密钥交换和加密握手
- 加密握手完成后、客户端和服务器之间将开始加密通信。