使用 OCSP 验证数字证书是否有效

从 ONTAP 9.4 开始，联机证书状态协议（OCSP）允许使用传输层安全性（TLS）通信的 ONTAP 应用程序在 OCSP 启用后接收数字证书状态。您可以随时对特定的应用程序启用或禁用 OCSP 证书状态检查。默认情况下，禁用 OCSP 证书状态检查。

开始之前

这些命令必须在高级权限级别执行。

关于本任务

OCSP 支持以下应用程序：

自动支持
事件管理系统（EMS）
LDAP over TLS
密钥管理互操作性协议（KMIP）
审核日志记录
FabricPool

将权限级别设置为高级：set -privilege advanced。

要对特定的 ONTAP 应用程序启用或禁用 OCSP 证书状态检查，请使用适当的命令。

如果希望某些应用程序的 OCSP 证书状态检查为...	请使用命令...
启用状态	security config ocsp enable -app `app name`
Disabled（已禁用）	security config ocsp disable -app `app name`

示例

以下命令为自动支持和 EMS 启用 OCSP 支持。

cluster::*> security config ocsp enable -app asup,ems

结果

启用 OCSP 后，应用程序会收到以下响应之一：

正常 - 证书有效，通信继续。
已吊销 - 证书被其证书颁发机构永久视为不可信，通信无法继续。
未知 - 服务器没有有关证书的任何状态信息，通信无法继续。
证书中缺少 OCSP 服务器信息 - 服务器如同 OCSP 已禁用一样运行，并继续 TLS 通信，但不执行状态检查。
OCSP 服务器未响应 - 应用程序无法继续运行。

要对使用 TLS 通信的所有应用程序启用或禁用 OCSP 证书状态检查，请使用适当的命令。
如果希望所有应用程序的 OCSP 证书状态检查为... 请使用命令...
启用状态 security config ocsp enable -app all
Disabled（已禁用） security config ocsp disable -app all
结果
启用后，所有应用程序都会收到一个签名响应，表明指定证书是正常、已吊销还是未知。如果证书已吊销，应用程序将无法继续运行。如果应用程序未收到来自 OCSP 服务器的响应，或者服务器无法访问，应用程序将无法继续运行。

如果希望所有应用程序的 OCSP 证书状态检查为...	请使用命令...
启用状态	security config ocsp enable `-app all`
Disabled（已禁用）	security config ocsp disable `-app all`

使用 security config ocsp show 命令可显示支持 OCSP 的所有应用程序及其支持状态。

示例

cluster::*> security config ocsp show
         Application                        OCSP Enabled?
         --------------------               ---------------------
         autosupport                        false
         audit_log                          false
         fabricpool                         false
         ems                                false
         kmip                               false
         ldap_ad                            true
         ldap_nis_namemap                   true

         7 entries were displayed.

提供反馈