Como instalar certificados TLS/SSL no NetApp ONTAP

HTTPS é o método padrão para comunicações na internet que transmitem dados sensíveis. O protocolo TLS é a espinha dorsal do HTTPS, criptografando conexões para que as informações transmitidas não possam ser interceptadas ou modificadas.

O protocolo HTTPS também deve ser utilizado com aplicações web locais que transmitem dados sensíveis. Isso inclui servidores NetApp, uma vez que aplicações externas e usuários precisam autenticar, autorizar e transferir dados com o sistema operacional NetApp ONTAP. Isso requer a instalação de um certificado digital do tipo “servidor” no nível do cluster ou da máquina virtual de armazenamento (SVM).

Quando um cluster NetApp ou SVM é criado, um certificado de servidor autoassinado é automaticamente criado e instalado para habilitar a autenticação do servidor SSL. No entanto, é altamente recomendável instalar um certificado assinado por uma Autoridade Certificadora (CA) confiável para uma segurança mais robusta.

Este post do blog explica como instalar um certificado assinado por uma CA e configurar seu cluster ou SVM para usá-lo. (A NetApp pode ajudá-lo a solicitar um certificado assinado por uma CA.)

Instalando Certificados TLS em um Cluster ONTAP ou SVM

Observe que os comandos de exemplo abaixo estão no nível do SVM, mas podem ser facilmente aplicados no nível do cluster. Além disso, são para certificados de “servidor”, mas também podem ser usados para instalar certificados de “client-ca” para comunicações seguras do ONTAP com servidores de aplicativos externos.

Também é importante notar que o termo “SSL” ainda é comumente usado, mesmo que o protocolo SSL tenha sido descontinuado há muito tempo em favor de seu sucessor, o protocolo TLS.

Antes de começar, certifique-se de que tem as chaves pública e privada do certificado em mãos. Lembre-se de que é vital manter todas as chaves privadas seguras — qualquer chave privada comprometida representa um grande risco de segurança e precisará ser prontamente revogada e substituída.

Para instalar um certificado e configurar seu cluster ou SVM para usá-lo, siga os seguintes passos:

1. Conecte-se via SSH à interface CLI do cluster e execute o seguinte comando:

      security certificate install -vserver <svm_name> -type server
      

2. Quando solicitado, cole a chave pública e pressione ENTER; em seguida, cole a chave privada e pressione ENTER novamente. Certifique-se de incluir todo o texto de cada chave, incluindo “—–BEGIN CERTIFICATE—–” e “—–END CERTIFICATE—–”.

3. Em seguida, para encontrar o novo certificado, exiba informações sobre os certificados do servidor no cluster ou SVM:

      security certificate show -vserver <svm_name> -type server
The output should look like the following, which shows a self-signed certificate:
      

      Vserver    Serial Number   Certificate Name                       Type
---------- --------------- -------------------------------------- ------------
dpi_svm    <cert_serial_num>
                           dpi_svm_1625F0D07A496E63               server
    Certificate Authority: dpi_svm
          Expiration Date: Wed Jul 28 14:27:01 2021

      

4. Você precisará do número de série, nome comum e propriedades da CA do certificado. Se precisar exibir mais informações para um certificado específico, execute o seguinte comando:

      security certificate show -serial <cert_serial_number> -instance
      

5. Agora você pode usar essa informação para modificar o parâmetro de autenticação SSL do cluster ou SVM para que ele utilize o certificado que você instalou:

      security ssl modify -vserver <svm_name> -server-enabled true -serial <cert_serial_number> -commonname <cert_common_name> -ca <cert_certificate_authority>
      

6. Quando solicitado, você pode continuar a instalar certificados raiz ou intermediários se necessário para a sua cadeia de certificados. Se você não tem certeza sobre esse processo ou sua cadeia, consulte a sua Autoridade Certificadora.

7. Na maioria dos casos, insira “n” para concluir a instalação do certificado. No entanto, se for avisado sobre um certificado autoassinado, mas essa é a sua intenção de uso, insira “y” para continuar.

8. Para verificar que o certificado está associado ao parâmetro de autenticação do servidor do cluster ou do SVM, execute este comando:

      security ssl show -vserver <svm_name> -instance
      

O valor de “SSL Server Authentication Enabled” deve ser “true” e o número de série do certificado esperado deve ser exibido

      Vserver: dpi_svm
                   Server Certificate Issuing CA: dpi_svm
                Server Certificate Serial Number: <cert_serial_num>
                  Server Certificate Common Name: dpi_svm
               SSL Server Authentication Enabled: true
Certificate installation and SSL server auth configuration are now complete, and the cluster or SVM now supports network communication as a server via HTTPS.
      

Como a Netwrix pode ajudar?

Netwrix StealthAUDIT vem com um repositório de certificados raiz que inclui muitas Autoridades Certificadoras conhecidas e confiáveis, o que simplifica o processo de comunicação uma vez que um certificado de servidor assinado pela CA correspondente tenha sido instalado em clusters NetApp e SVMs na rede.

Além disso, Netwrix StealthAUDIT permitirá que você:

• Identifique vulnerabilidades que atacantes poderiam usar para comprometer seus sistemas de TI e acessar seus dados.
• Identifique lacunas adicionais de segurança avaliando rapidamente e com eficiência os níveis de patch do sistema.
• Garanta a segurança e as políticas operacionais por meio da análise de baseline configuration.
• Audite e governe contas privilegiadas.
• Comprove a conformidade mais facilmente com relatórios pré-construídos e total transparência do sistema.