Cómo instalar certificados TLS/SSL en NetApp ONTAP

HTTPS es el método estándar para las comunicaciones por internet que transmiten datos sensibles. El protocolo TLS es la columna vertebral de HTTPS, cifrando las conexiones para que la información transmitida no pueda ser interceptada o modificada.

También se debe utilizar HTTPS con aplicaciones web locales que transmitan datos sensibles. Esto incluye servidores NetApp, ya que aplicaciones y usuarios externos necesitan autenticarse, autorizarse y transferir datos con el sistema operativo NetApp ONTAP. Esto requiere que se instale un certificado digital de tipo “servidor” a nivel de clúster o máquina virtual de almacenamiento (SVM).

Cuando se crea un clúster NetApp o SVM, se genera e instala automáticamente un certificado de servidor autofirmado para habilitar la autenticación del servidor SSL. Sin embargo, se recomienda encarecidamente instalar un certificado firmado por una Autoridad de Certificación (CA) de confianza para una seguridad más robusta.

Esta entrada de blog explica cómo instalar un certificado firmado por una CA y configurar su clúster o SVM para usarlo. (NetApp puede ayudarlo a request a CA-signed certificate.)

Instalación de certificados TLS en un clúster ONTAP o SVM

Tenga en cuenta que los comandos de ejemplo a continuación están al nivel de SVM pero pueden aplicarse fácilmente al nivel de clúster. Además, son para certificados de “servidor” pero también pueden utilizarse para instalar certificados de “client-ca” para comunicaciones seguras de ONTAP con servidores de aplicaciones externos.

También tenga en cuenta que el término “SSL” todavía se usa comúnmente aunque el protocolo SSL ha sido obsoleto durante mucho tiempo en favor de su sucesor, el protocolo TLS.

Antes de comenzar, asegúrese de tener a mano las claves públicas y privadas del certificado. Recuerde que es vital mantener todas las claves privadas seguras — cualquier clave privada comprometida representa un gran riesgo de seguridad y deberá ser revocada y reemplazada de inmediato.

Para instalar un certificado y configurar su clúster o SVM para usarlo, siga los siguientes pasos:

1. Conéctese por SSH a la interfaz CLI del clúster y ejecute el siguiente comando:

      security certificate install -vserver <svm_name> -type server
      

2. Cuando se le solicite, pegue la clave pública y presione ENTER; luego pegue la clave privada y presione ENTER de nuevo. Asegúrese de incluir todo el texto de cada clave, incluyendo “—–BEGIN CERTIFICATE—–” y “—–END CERTIFICATE—–”.

3. A continuación, para encontrar el nuevo certificado, muestre información sobre los certificados del servidor en el clúster o SVM:

      security certificate show -vserver <svm_name> -type server
The output should look like the following, which shows a self-signed certificate:
      

      Vserver    Serial Number   Certificate Name                       Type
---------- --------------- -------------------------------------- ------------
dpi_svm    <cert_serial_num>
                           dpi_svm_1625F0D07A496E63               server
    Certificate Authority: dpi_svm
          Expiration Date: Wed Jul 28 14:27:01 2021

      

4. Necesitará el número de serie, el nombre común y las propiedades de la CA del certificado. Si necesita mostrar más información de un certificado específico, ejecute el siguiente comando:

      security certificate show -serial <cert_serial_number> -instance
      

5. Ahora puede utilizar esta información para modificar el parámetro de autenticación SSL del clúster o SVM para que utilice el certificado que instaló:

      security ssl modify -vserver <svm_name> -server-enabled true -serial <cert_serial_number> -commonname <cert_common_name> -ca <cert_certificate_authority>
      

6. Cuando se le solicite, puede continuar con la instalación de certificados raíz o intermedios si su cadena de certificados lo requiere. Si tiene dudas sobre este proceso o su cadena, consulte a su Autoridad de Certificación.

7. En la mayoría de los casos, ingrese “n” para finalizar la instalación del certificado. Sin embargo, si se le advierte sobre un certificado autofirmado pero esa es su intención de uso, ingrese “y” para continuar.

8. Para verificar que el certificado esté asociado con el parámetro de autenticación del servidor del clúster o SVM, ejecute este comando:

      security ssl show -vserver <svm_name> -instance
      

El valor de “SSL Server Authentication Enabled” debería ser “true”, y se debería mostrar el número de serie del certificado esperado

      Vserver: dpi_svm
                   Server Certificate Issuing CA: dpi_svm
                Server Certificate Serial Number: <cert_serial_num>
                  Server Certificate Common Name: dpi_svm
               SSL Server Authentication Enabled: true
Certificate installation and SSL server auth configuration are now complete, and the cluster or SVM now supports network communication as a server via HTTPS.
      

¿Cómo puede ayudar Netwrix?

Netwrix StealthAUDIT viene con un almacén de certificados raíz que incluye muchas Autoridades de Certificación conocidas y confiables, lo que simplifica el proceso de comunicación una vez que se ha instalado un certificado de servidor firmado por una CA correspondiente en los clústeres de NetApp y SVMs en la red.

Además, Netwrix StealthAUDIT le permitirá:

• Identifique vulnerabilidades que los atacantes podrían utilizar para comprometer sus sistemas de TI y acceder a sus datos.
• Identifique brechas de seguridad adicionales al evaluar rápidamente y con eficiencia los niveles de parches del sistema.
• Haga cumplir las políticas de seguridad y operativas mediante el análisis de baseline configuration.
• Audite y gobierne las cuentas privilegiadas.
• Demuestre el cumplimiento más fácilmente con informes preconstruidos y transparencia completa del sistema.