エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9.14

to English version

CA署名済みサーバー証明書の生成とインストール - 概要

本番用システムでは、クラスタまたはSVMをSSLサーバーとして認証するために、CA署名済みデジタル証明書をインストールすることを推奨します。security certificate generate-csrコマンドを使用して証明書署名要求(CSR)を生成し、認証局から返された証明書をsecurity certificate installコマンドを使用してインストールします。

証明書署名要求の生成

証明書署名要求(CSR)は、security certificate generate-csrコマンドを使用して生成できます。要求が処理されると、署名済みのデジタル証明書が認証局(CA)から送信されます。

開始する前に

このタスクを実行するには、クラスタ管理者またはSVMの管理者である必要があります。

手順
  1. CSRを生成します。

    security certificate generate-csr -common-name FQDN_or_common_name -size 512|1024|1536|2048 -country country -state state -locality locality -organization organization -unit unit -email-addr email_of_contact -hash-function SHA1|SHA256|MD5

    次のコマンドは、「SHA256」ハッシュ関数で生成される2,048ビット秘密鍵を使用して、CSRを作成します。この証明書は、米国カリフォルニア州のサニーベールにある企業(カスタム共通名「server1.companyname.com」)の「IT」部門の「ソフトウェア」 グループが使用します。SVM担当管理者のEメール アドレスは「web@example.com」です。出力にはCSRと秘密鍵が表示されます。

    CSRを作成する例
    cluster1::>security certificate generate-csr -common-name server1.companyname.com -size 2048 -country US -state California -locality Sunnyvale -organization IT -unit Software -email-addr web@example.com -hash-function SHA256
    
    Certificate Signing Request :
    -----BEGIN CERTIFICATE REQUEST-----
    MIIBGjCBxQIBADBgMRQwEgYDVQQDEwtleGFtcGxlLmNvbTELMAkGA1UEBhMCVVMx
    CTAHBgNVBAgTADEJMAcGA1UEBxMAMQkwBwYDVQQKEwAxCTAHBgNVBAsTADEPMA0G
    CSqGSIb3DQEJARYAMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAPXFanNoJApT1nzS
    xOcxixqImRRGZCR7tVmTYyqPSuTvfhVtwDJbmXuj6U3a1woUsb13wfEvQnHVFNci
    2ninsJ8CAwEAAaAAMA0GCSqGSIb3DQEBCwUAA0EA6EagLfso5+4g+ejiRKKTUPQO
    UqOUEoKuvxhOvPC2w7b//fNSFsFHvXloqEOhYECn/NX9h8mbphCoM5YZ4OfnKw==
    -----END CERTIFICATE REQUEST-----
    
    
    Private Key :
    -----BEGIN RSA PRIVATE KEY-----
    MIIBOwIBAAJBAPXFanNoJApT1nzSxOcxixqImRRGZCR7tVmTYyqPSuTvfhVtwDJb
    mXuj6U3a1woUsb13wfEvQnHVFNci2ninsJ8CAwEAAQJAWt2AO+bW3FKezEuIrQlu
    KoMyRYK455wtMk8BrOyJfhYsB20B28eifjJvRWdTOBEav99M7cEzgPv+p5kaZTTM
    gQIhAPsp+j1hrUXSRj979LIJJY0sNez397i7ViFXWQScx/ehAiEA+oDbOooWlVvu
    xj4aitxVBu6ByVckYU8LbsfeRNsZwD8CIQCbZ1/ENvmlJ/P7N9Exj2NCtEYxd0Q5
    cwBZ5NfZeMBpwQIhAPk0KWQSLadGfsKO077itF+h9FGFNHbtuNTrVq4vPW3nAiAA
    peMBQgEv28y2r8D4dkYzxcXmjzJluUSZSZ9c/wS6fA==
    -----END RSA PRIVATE KEY-----
    
    Note: Please keep a copy of your certificate request and private key for future reference.
  2. CSR出力の証明書要求をデジタル形式(Eメールなど)で信頼できるサードパーティのCAに送信し、署名を求めます。

    要求が処理されると、署名済みのデジタル証明書がCAから送信されます。秘密鍵とCA署名デジタル証明書のコピーを保管する必要があります。

CA署名済みサーバー証明書のインストール

CA署名済みサーバー証明書は、security certificate installコマンドを使用してSVMにインストールできます。サーバー証明書の証明書チェーンを形成する、認証局(CA)のルート証明書と中間証明書の入力を求めるプロンプトが表示されます。

開始する前に

このタスクを実行するには、クラスタ管理者またはSVMの管理者である必要があります。

手順
  1. CA署名済みサーバー証明書をインストールします。

    security certificate install -vserver SVM_name -type certificate_type

    コマンド構文全体については、ワークシートを参照してください。

    サーバー証明書の証明書チェーンを形成する、CAのルート証明書と中間証明書の入力を求めるプロンプトが表示されます。チェーンは、サーバー証明書を発行したCAの証明書から始まり、CAのルート証明書まで続きます。中間証明書が1つでも抜けていると、サーバー証明書のインストールに失敗します。

    次のコマンドは、CA署名済みサーバー証明書と中間証明書をSVM 「engData2」にインストールするものです。

    CA署名済みサーバー証明書と中間証明書をインストールする例
    cluster1::>security certificate install -vserver engData2 -type server
    Please enter Certificate: Press <Enter> when done
    -----BEGIN CERTIFICATE-----
    MIIB8TCCAZugAwIBAwIBADANBgkqhkiG9w0BAQQFADBfMRMwEQYDVQQDEwpuZXRh
    cHAuY29tMQswCQYDVQQGEwJVUzEJMAcGA1UECBMAMQkwBwYDVQQHEwAxCTAHBgNV
    BAoTADEJMAcGA1UECxMAMQ8wDQYJKoZIhvcNAQkBFgAwHhcNMTAwNDI2MTk0OTI4
    WhcNMTAwNTI2MTk0OTI4WjBfMRMwEQYDVQQDEwpuZXRhcHAuY29tMQswCQYDVQQG
    EwJVUzEJMAcGA1UECBMAMQkwBwYDVQQHEwAxCTAHBgNVBAoTADEJMAcGA1UECxMA
    MQ8wDQYJKoZIhvcNAQkBFgAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAyXrK2sry
    -----END CERTIFICATE-----
    
    
    Please enter Private Key: Press <Enter> when done
    -----BEGIN RSA PRIVATE KEY-----
    MIIBPAIBAAJBAMl6ytrK8nQj82UsWeHOeT8gk0BPX+Y5MLycsUdXA7hXhumHNpvF
    C61X2G32Sx8VEa1th94tx+vOEzq+UaqHlt0CAwEAAQJBAMZjDWlgmlm3qIr/n8VT
    PFnnZnbVcXVM7OtbUsgPKw+QCCh9dF1jmuQKeDr+wUMWknlDeGrfhILpzfJGHrLJ
    z7UCIQDr8d3gOG71UyX+BbFmo/N0uAKjS2cvUU+Y8a8pDxGLLwIhANqa99SuSl8U
    DiPvdaKTj6+EcGuXfCXz+G0rfgTZK8uzAiEAr1mnrfYC8KwE9k7A0ylRzBLdUwK9
    AvuJDn+/z+H1Bd0CIQDD93P/xpaJETNz53Au49VE5Jba/Jugckrbosd/lSd7nQIg
    aEMAzt6qHHT4mndi8Bo8sDGedG2SKx6Qbn2IpuNZ7rc=
    -----END RSA PRIVATE KEY-----
    
    Do you want to continue entering root and/or intermediate certificates {y|n}: y
    
    Please enter Intermediate Certificate: Press <Enter> when done
    -----BEGIN CERTIFICATE-----
    MIIE+zCCBGSgAwIBAgICAQ0wDQYJKoZIhvcNAQEFBQAwgbsxJDAiBgNVBAcTG1Zh
    bGlDZXJ0IFZhbGlkYXRpb24gTmV0d29yazEXMBUGA1UEChMOVmFsaUNlcnQsIElu
    Yy4xNTAzBgNVBAsTLFZhbGlDZXJ0IENsYXNzIDIgUG9saWN5IFZhbGlkYXRpb24g
    QXV0aG9yaXR5MSEwHwYDVQQDExhodHRwOi8vd3d3LnZhbGljZXJ0LmNvbS8xIDAe
    BgkqhkiG9w0BCQEWEWluZm9AdmFsaWNlcnQuY29tMB4XDTA0MDYyOTE3MDYyMFoX
    DTI0MDYyOTE3MDYyMFowYzELMAkGA1UEBhMCVVMxITAfBgNVBAoTGFRoZSBHbyBE
    YWRkeSBHcm91cCwgSW5jLjExMC8GA1UECxMoR28gRGFkZHkgQ2xhc3MgMiBDZXJ0
    -----END CERTIFICATE-----
    
    
    Do you want to continue entering root and/or intermediate certificates {y|n}: y
    
    Please enter Intermediate Certificate: Press <Enter> when done
    -----BEGIN CERTIFICATE-----
    MIIC5zCCAlACAQEwDQYJKoZIhvcNAQEFBQAwgbsxJDAiBgNVBAcTG1ZhbGlDZXJ0
    IFZhbGlkYXRpb24gTmV0d29yazEXMBUGA1UEChMOVmFsaUNlcnQsIEluYy4xNTAz
    BgNVBAsTLFZhbGlDZXJ0IENsYXNzIDIgUG9saWN5IFZhbGlkYXRpb24gQXV0aG9y
    aXR5MSEwHwYDVQQDExhodHRwOi8vd3d3LnZhbGljZXJ0LmNvbS8xIDAeBgkqhkiG
    9w0BCQEWEWluZm9AdmFsaWNlcnQuY29tMB4XDTk5MDYyNjAwMTk1NFoXDTE5MDYy
    NjAwMTk1NFowgbsxJDAiBgNVBAcTG1ZhbGlDZXJ0IFZhbGlkYXRpb24gTmV0d29y
    azEXMBUGA1UEChMOVmFsaUNlcnQsIEluYy4xNTAzBgNVBAsTLFZhbGlDZXJ0IENs
    YXNzIDIgUG9saWN5IFZhbGlkYXRpb24gQXV0aG9yaXR5MSEwHwYDVQQDExhodHRw
    -----END CERTIFICATE-----
    
    
    Do you want to continue entering root and/or intermediate certificates {y|n}: n
    
    You should keep a copy of the private key and the CA-signed digital certificate for future reference.
Top of Page