什么是 ONTAP 中的证书信任商店？

最后更新
另存为PDF

Views:: 226

Visibility:: Public

Votes:: 1

Category:: ontap-9

Specialty:: CORE

Last Updated:

适用于

ONTAP 9
AutoSupport

问题解答

什么是证书信任库？

从 ONTAP 9.2 开始，ONTAP 的证书管理中引入了一组受信任的根 CA 证书。
管理 SVM 可以允许在 ONTAP 中运行的应用程序无缝地建立到外部实体的 TLS 连接。
每个证书都有一个相关联的到期日期。

何时安装 Truststore 证书？

Truststore 证书仅在 ONTAP 版本 9.2 或更高版本的安装期间或在升级到 ONTAP 9.2 或更高版本期间安装在管理 SVM 上。
Truststore 证书捆绑包也在较新版本的 ONTAP 中进行了更新。

如何查看已安装的 Truststore 证书？

您可以使用security certificate show -type server-ca 命令查看安装在 admin SVM 上的 Truststore Certificates。
该security certificate show -vserver * -type server-ca将显示用户安装的证书和 Truststore Certificates。
从 ONTAP 9.4 及更高版本开始，security certificate show-truststore c可用于仅查看默认的 Truststore Certificates：
- 显示默认 Truststore 证书：security certificate show-truststore
- 显示用户安装的证书：security certificate show-user-installed

如果 Truststore 证书过期，会发生什么情况？

如果信任存储证书过期，您可以将其删除或保持安装状态。
信任存储证书会根据每个 ONTAP 版本的需要自动更新。
这一点在 BUG CONTAP-41469 中也有说明：对于 30 天后过期的信任存储证书，将发送 EMS 过期警告

ONTAP 事件管理系统 (EMS) 将报告以下内容：

到期前 30 天开始：

Tue Jul 09 00:00:01 CEST [node1: mgwd: mgmtgwd.certificate.expiring:error]: A digital certificate with Fully Qualified Domain Name (FQDN) UTN-USERFirst-Hardware, Serial Number 44BE0C8B500024B411D3362AFE650AFD, Certificate Authority 'UTN-USERFirst-Hardware' and type server-ca for Vserver ADMIN-SVM will expire in the next 10 day(s).

截至 2019 年 7 月，已知有三个证书已过期。
这些 Truststore 证书已由 NetApp 审核，可以安全地删除。

Name of Vserver Netapp1 FQDN or Custom Common Name Class2PrimaryCA Serial Number of Certificate 85BD4BF3D8DAE369F694D75FC3A54423 Certificate Authority Class 2 Primary CA Type of Certificate server-ca Certificate Expiration Date Sat Jul 06 18:59:59 2019 Protocol SSL Hashing Function SHA1 Name of Vserver Netapp1 FQDN or Custom Common Name DeutscheTelekomRootCA2 Serial Number of Certificate 26 Certificate Authority Deutsche Telekom Root CA 2 Type of Certificate server-ca Certificate Expiration Date Tue Jul 09 18:59:00 2019 Protocol SSL Hashing Function SHA1 Name of Vserver Netapp1 FQDN or Custom Common Name UTN-USERFirst-Hardware Serial Number of Certificate 44BE0C8B500024B411D3362AFE650AFD Certificate Authority UTN-USERFirst-Hardware Type of Certificate server-ca Certificate Expiration Date Tue Jul 09 13:19:22 2019 Protocol SSL Hashing Function SHA1

根据 Bug 解决方法，使用命令删除证书 security certificate delete

::> set advanced ::*> security certificate delete -vserver -common-name Class2PrimaryCA -type server-ca -ca "Class 2 Primary CA" -serial 5BD4BF3D8DAE369F694D75FC3A54423

注意： <TAB>将自动完成-serial和-ca名称应使用双引号

如果我删除了 Truststore 证书，会发生什么？

在大多数情况下，过期的证书可能未被使用。
删除信任存储证书可能会导致某些 ONTAP 应用程序无法按预期运行（例如：AutoSupport 或 System Manager）。

我可以创建具有新到期日期的 Truststore 证书吗？

否，新证书必须由证书颁发机构重新颁发，然后重新安装。
如上所述，每个 ONTAP 版本都会根据需要自动更新 Truststore 证书。

什么是默认 AutoSupport 证书？（影响 HTTPS）

有效期至2020年5月30日
- 证书颁发机构：AddTrust External CA Root
- 通用名称：AddTrustExternalCARoot
新证书 2020 年 5 月 31 日
- 证书颁发机构：AAA Certificate Services
- 通用名称：AAACertificateServices
有关更多详细信息，请参见我的 AutoSupport 证书过期后会发生什么？

适用于