如何配置ONTAP与服务处理器(SP)或具有证书颁发机构(CA)签名证书的BMC之间的通信
适用场景
- ONTAP 9.5及更高版本
- SP/BMC
- AFF A700s平台不支持
问题描述
- ONTAP 9.5及更高版本包括功能请求1172908 、该功能支持 通过证书颁发机构(Certificate Authority、CA)签名证书与service-processor (SP)或BMC进行安全通信。
- 要使用 system service-processor api-service enable-installed-certificates 进程, 必须安装以下三种证书类型:
- root-CA证书
- 服务器证书
- 客户端证书
注意事项
- 总体最佳实践是使用ONTAP建议版本和当前服务处理器或BMC固件。
- 最好安装修复了错误ID 1328457的ONTAP版本 、该版本会在配置SP API服务时对CA证书链执行验证。
- 此过程不会中断在ONTAP集群中提供数据。
- 默认情况下、SP API服务使用端口50000。 如果需要、可以将其修改为使用其他端口。
- SP API可在集群内提供内部通信。
- 如果在此过程完成后向SP API端口查询证书、则会为集群中的每个SP或BMC返回相同的证书。