Come installare i certificati TLS/SSL in NetApp ONTAP

HTTPS è il metodo standard per le comunicazioni Internet che trasmettono dati sensibili. Il protocollo TLS è la spina dorsale di HTTPS, criptando le connessioni in modo che le informazioni trasmesse non possano essere intercettate o modificate.

Anche HTTPS dovrebbe essere utilizzato con applicazioni web locali che trasmettono dati sensibili. Ciò include i server NetApp, poiché applicazioni esterne e utenti devono autenticarsi, autorizzare e trasferire dati con il sistema operativo NetApp ONTAP. Questo richiede l'installazione di un certificato digitale di tipo “server” a livello di cluster o macchina virtuale di storage (SVM).

Quando viene creato un cluster NetApp o SVM, viene automaticamente generato e installato un certificato server autofirmato per abilitare l'autenticazione del server SSL. Tuttavia, si raccomanda vivamente di installare un certificato firmato da un'Autorità di Certificazione (CA) fidata per una sicurezza più robusta.

Questo post del blog spiega come installare un certificato firmato da una CA e configurare il cluster o SVM per utilizzarlo. (NetApp può aiutarti a request a CA-signed certificate.)

Installazione di certificati TLS su un cluster ONTAP o SVM

Si noti che i comandi di esempio sottostanti sono a livello di SVM ma possono essere facilmente applicati anche a livello di cluster. Inoltre, sono per certificati “server” ma possono anche essere utilizzati per installare certificati “client-ca” per comunicazioni ONTAP sicure con server di applicazioni esterni.

Si noti inoltre che il termine “SSL” è ancora comunemente utilizzato anche se il protocollo SSL è stato deprecato da tempo a favore del suo successore, il protocollo TLS.

Prima di iniziare, assicurati di avere a portata di mano le chiavi pubbliche e private del certificato. Ricorda che è fondamentale mantenere tutte le chiavi private al sicuro — qualsiasi chiave privata compromessa rappresenta un grosso rischio per la sicurezza e dovrà essere prontamente revocata e sostituita.

Per installare un certificato e configurare il cluster o SVM per utilizzarlo, seguire i seguenti passaggi:

1. Esegui l'accesso SSH nell'interfaccia CLI del cluster e esegui il seguente comando:

      security certificate install -vserver <svm_name> -type server
      

2. Quando richiesto, incolla la chiave pubblica e premi INVIO; poi incolla la chiave privata e premi INVIO nuovamente. Assicurati di includere tutto il testo di ciascuna chiave, incluso “—–BEGIN CERTIFICATE—–” e “—–END CERTIFICATE—–”.

3. Successivamente, per trovare il nuovo certificato, visualizza le informazioni sui certificati server sul cluster o SVM:

      security certificate show -vserver <svm_name> -type server
The output should look like the following, which shows a self-signed certificate:
      

      Vserver    Serial Number   Certificate Name                       Type
---------- --------------- -------------------------------------- ------------
dpi_svm    <cert_serial_num>
                           dpi_svm_1625F0D07A496E63               server
    Certificate Authority: dpi_svm
          Expiration Date: Wed Jul 28 14:27:01 2021

      

4. Avrai bisogno del numero di serie, del nome comune e delle proprietà CA del certificato. Se hai bisogno di visualizzare più informazioni per un certificato specifico, esegui il seguente comando:

      security certificate show -serial <cert_serial_number> -instance
      

5. Ora puoi utilizzare queste informazioni per modificare il parametro di autenticazione SSL del cluster o SVM in modo che utilizzi il certificato che hai installato:

      security ssl modify -vserver <svm_name> -server-enabled true -serial <cert_serial_number> -commonname <cert_common_name> -ca <cert_certificate_authority>
      

6. Quando richiesto, puoi continuare ad installare certificati root o intermedi se richiesti dalla tua catena di certificati. Se non sei sicuro di questo processo o della tua catena, consulta la tua Autorità di Certificazione.

7. Nella maggior parte dei casi, inserisci “n” per completare l'installazione del certificato. Tuttavia, se ricevi un avviso riguardo a un certificato autofirmato ma è ciò che intendi utilizzare, inserisci “y” per continuare.

8. Per verificare che il certificato sia associato al parametro di autenticazione del server del cluster o dell'SVM, eseguire questo comando:

      security ssl show -vserver <svm_name> -instance
      

Il valore di “SSL Server Authentication Enabled” nell'output dovrebbe essere “true”, e il numero di serie del certificato atteso dovrebbe essere visualizzato

      Vserver: dpi_svm
                   Server Certificate Issuing CA: dpi_svm
                Server Certificate Serial Number: <cert_serial_num>
                  Server Certificate Common Name: dpi_svm
               SSL Server Authentication Enabled: true
Certificate installation and SSL server auth configuration are now complete, and the cluster or SVM now supports network communication as a server via HTTPS.
      

Come può aiutare Netwrix?

Netwrix StealthAUDIT è fornito con un archivio di certificati radice che include molte Autorità di Certificazione note e affidabili, il che semplifica il processo di comunicazione una volta che un corrispondente certificato server firmato da una CA è stato installato sui cluster NetApp e SVM nella rete.

Inoltre, Netwrix StealthAUDIT ti permetterà di:

• Individuate vulnerabilità che gli attaccanti potrebbero sfruttare per compromettere i vostri sistemi IT e accedere ai vostri dati.
• Individua ulteriori lacune di sicurezza valutando rapidamente ed efficientemente i livelli di patch del sistema.
• Fai rispettare le politiche di sicurezza e operative attraverso l'analisi della baseline configuration.
• Audita e governa gli account privilegiati.
• Dimostrate la conformità più facilmente con report predefiniti e completa trasparenza del sistema.