跳到主要内容

为集群安装 CA 签名的服务器证书

要启用 SSL 服务器以认证作为 SSL 客户端的集群或存储虚拟机(SVM),请在集群或 SVM 上安装具有客户端类型的数字证书。然后,将 client-ca 证书提供给 SSL 服务器管理员,以在服务器上进行安装。

  1. 要使用 CA 签名的数字证书进行客户端认证,请完成以下步骤:
    1. 使用 security certificate generate-csr 命令生成数字证书签名请求(CSR)。

      结果

      ONTAP 将显示 CSR 输出,其中包含证书请求和私钥,并提醒您将输出拷贝到文件以供将来参考。

    2. 将 CSR 输出中的证书请求以电子格式(如电子邮件)发送给可信 CA 进行签名。

      应保留私钥和 CA 签名证书的拷贝以供将来参考。

      结果

      处理您的请求后,CA 将把签名的数字证书发送给您。

    3. 使用带 -type client 参数的 security certificate install 命令安装 CA 签名证书。
    4. 收到提示时,输入证书和私钥,然后按 Enter 键。
    5. 收到提示时,输入任何其他根证书或中间证书,然后按 Enter 键。

      如果从可信根 CA 开始,并以发给您的 SSL 证书结束的证书链缺少中间证书,可在集群或 SVM 上安装中间证书。中间证书是由专门发放最终实体服务器证书的可信根发放的下级证书。结果是从可信根 CA 开始,通过中间证书,并以发给您的 SSL 证书结束的证书链。

  2. 将集群或 SVMclient-ca 证书提供给 SSL 服务器的管理员,以在服务器上进行安装。

    带有 -instance-type client-ca 参数的 security certificate show 命令显示 client-ca 证书信息。