As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurando IPsec usando a autenticação de certificado
Os tópicos a seguir fornecem instruções para configurar a IPsec criptografia usando a autenticação de certificado em um sistema de ONTAP arquivos FSx for e em um cliente executando o IPsec Libreswan. Essa solução usa AWS Certificate Manager e AWS Private Certificate Authority para criar uma autoridade de certificação privada e para gerar os certificados.
As etapas de alto nível para configurar a IPsec criptografia usando a autenticação de certificado em sistemas FSx de ONTAP arquivos e clientes conectados são as seguintes:
Tenha uma autoridade de certificação para emitir certificados.
Gere e exporte certificados CA para o sistema de arquivos e o cliente.
Instale o certificado e configure IPsec na instância do cliente.
Instale o certificado e configure IPsec em seu sistema de arquivos.
Defina o banco de dados da política de segurança (SPD).
Configure IPsec para acesso a vários clientes.
Como criar e instalar certificados CA
Para autenticação de certificados, você precisa gerar e instalar certificados de uma autoridade de certificação em seu sistema de ONTAP arquivos FSx for e dos clientes que acessarão os dados em seu sistema de arquivos. O exemplo a seguir é usado AWS Private Certificate Authority para configurar uma autoridade de certificação privada e gerar os certificados para instalação no sistema de arquivos e no cliente. Usando AWS Private Certificate Authority, você pode criar uma hierarquia totalmente AWS hospedada de autoridades de certificação raiz e subordinadas (CAs) para uso interno de sua organização. Esse processo tem cinco etapas:
Crie uma autoridade de certificação (CA) privada usando AWS Private CA
Emitir e instalar o certificado raiz na CA privada
Solicite um certificado privado AWS Certificate Manager para seu sistema de arquivos e clientes
Exportar o certificado para o sistema de arquivos e os clientes
Para obter mais informações, consulte Administração de CA privada no Guia AWS Private Certificate Authority do usuário.
Criar a CA privada raiz
Ao criar uma CA, especifique a configuração da CA em um arquivo fornecido por você. O comando a seguir usa o editor de texto Nano para criar o arquivo
ca_config.txt
, que especifica as seguintes informações:O nome do algoritmo
O algoritmo de assinatura que a CA usa para assinar
Informações do assunto X.500
$ >
nano ca_config.txt
O editor de texto é exibido.
Edite o arquivo com as especificações da sua CA.
{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Country":"US", "Organization":"Example Corp", "OrganizationalUnit":"Sales", "State":"WA", "Locality":"Seattle", "CommonName":"*.ec2.internal" } }
Salve e feche o arquivo, saindo do editor de texto. Para obter mais informações, consulte Procedimento para criar uma CA no Guia AWS Private Certificate Authority do Usuário.
Use o create-certificate-authority AWS Private CA CLIcomando para criar uma CA privada.
~/home >
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://ca_config.txt \ --certificate-authority-type "ROOT" \ --idempotency-token 01234567 --regionaws-region
Se for bem-sucedido, esse comando exibirá o Amazon Resource Name (ARN) da CA.
{ "CertificateAuthorityArn": "arn:aws:acm-pca:
aws-region
:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012
" }
Para criar e instalar um certificado para a CA raiz privada (AWS CLI)
Gere uma solicitação de assinatura de certificado (CSR) usando o
get-certificate-authority-csr
AWS CLIcomando.$
aws acm-pca get-certificate-authority-csr \ --certificate-authority-arn arn:aws:acm-pca:
aws-region
:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \ --output text \ --endpoint https://acm-pca.aws-region
.amazonaws.com \ --region eu-west-1 > ca.csrO arquivo resultante
ca.csr
, um PEM arquivo codificado no formato base64, tem a seguinte aparência.-----BEGIN CERTIFICATE----- MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6 b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ 21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4 nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE= -----END CERTIFICATE-----
Para obter mais informações, consulte Instalando um certificado CA raiz no Guia AWS Private Certificate Authority do usuário.
Use o
issue-certificate
AWS CLI comando para emitir e instalar o certificado raiz em sua CA privada.$
aws acm-pca issue-certificate \ --certificate-authority-arn arn:aws:acm-pca:
aws-region
:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \ --csr file://ca.csr \ --signing-algorithm SHA256WITHRSA \ --template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \ --validity Value=3650,Type=DAYS --regionaws-region
-
Baixe o certificado raiz usando o
get-certificate
AWS CLI comando.$
aws acm-pca get-certificate \ --certificate-authority-arn arn:aws:acm-pca:aws-region
:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-arn arn:aws:acm-pca:aws-region
:486768734100:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/abcdef0123456789abcdef0123456789 \ --output text --regionaws-region
> rootCA.pem Instale o certificado raiz em sua CA privada usando o
import-certificate-authority-certificate
AWS CLI comando.$
aws acm-pca import-certificate-authority-certificate \ --certificate-authority-arn arn:aws:acm-pca:
aws-region
:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate file://rootCA.pem --regionaws-region
Gerar e exportar o certificado do sistema de arquivos e do cliente
Use o
request-certificate
AWS CLI comando para solicitar um AWS Certificate Manager certificado para usar em seu sistema de arquivos e clientes.$
aws acm request-certificate \ --domain-name *.ec2.internal \ --idempotency-token 12345 \ --region
aws-region
\ --certificate-authority-arn arn:aws:acm-pca:aws-region
:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012Se a solicitação for bem-sucedida, o ARN certificado emitido será devolvido.
-
Por segurança, você deve atribuir uma frase-senha para a chave privada ao exportá-la. Crie uma frase-senha e armazene-a em um arquivo chamado
passphrase.txt
-
Use o
export-certificate
AWS CLI comando para exportar o certificado privado emitido anteriormente. O arquivo exportado contém o certificado, a cadeia de certificados e a chave privada criptografada de 2048 bits associada à RSA chave pública incorporada ao certificado. Por segurança, você deve atribuir uma frase-senha para a chave privada ao exportá-la. O exemplo a seguir é para uma EC2 instância do Linux.$
aws acm export-certificate \ --certificate-arn arn:aws:acm:
aws-region
:111122223333:certificate/12345678-1234-1234-1234-123456789012 \ --passphrase $(cat passphrase.txt | base64)) --regionaws-region
> exported_cert.json Use os
jq
comandos a seguir para extrair a chave privada e o certificado da JSON resposta.$
cat exported_cert.json | jq -r .PrivateKey > prv.key cat exported_cert.json | jq -r .Certificate > cert.pem openssl rsa -in prv.key -passin pass:$passphrase -out decrypted.key
-
Use o
openssl
comando a seguir para descriptografar a chave privada da resposta. JSON Depois de inserir o comando, você será solicitado a digitar a frase-senha.$
openssl rsa -in prv.key -passin pass:$passphrase -out decrypted.key
Instalando e configurando o Libreswan em IPsec um cliente Amazon Linux 2
As seções a seguir fornecem instruções para instalar e configurar o Libreswan em IPsec uma instância da Amazon EC2 executando o Amazon Linux 2.
Instalar e configurar o Libreswan
Conecte-se à sua EC2 instância usando SSH o. Para obter instruções específicas sobre como fazer isso, consulte Conecte-se à sua instância Linux usando um SSH cliente no Guia do usuário do Amazon Elastic Compute Cloud para instâncias Linux.
Execute o comando a seguir para instalar o
libreswan
:$
sudo yum install libreswan
(Opcional) Ao verificar IPsec em uma etapa posterior, essas propriedades podem ser sinalizadas sem essas configurações. Sugerimos testar sua instalação primeiro sem essas configurações. Se sua conexão tiver problemas, retorne a esta etapa e faça as alterações a seguir.
Após a conclusão da instalação, use seu editor de texto preferencial para adicionar as entradas a seguir ao arquivo
/etc/sysctl.conf
.net.ipv4.ip_forward=1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.secure_redirects = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.default.send_redirects = 0 net.ipv4.conf.lo.accept_redirects = 0 net.ipv4.conf.lo.send_redirects = 0 net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.default.rp_filter = 0 net.ipv4.conf.eth0.rp_filter = 0
Salve as alterações e saia do editor de texto.
Aplique as alterações:
$
sudo sysctl -p
Verifique a IPsec configuração.
$
sudo ipsec verify
Verifique se a versão do
Libreswan
que você instalou está em execução.Inicialize o IPsec NSS banco de dados.
$
sudo ipsec checknss
Instalar o certificado no cliente
Copie o certificado que você gerou para o cliente no diretório de trabalho na EC2 instância. Você
Exporte o certificado gerado anteriormente em um formato compatível com o
libreswan
.$
openssl pkcs12 -export -in cert.pem -inkey decrypted.key \ -certfile rootCA.pem -out certkey.p12 -name fsx
Importe a chave reformatada, fornecendo a frase-senha quando solicitado.
$
sudo ipsec import certkey.p12
Crie um arquivo IPsec de configuração usando o editor de texto preferido.
$
sudo cat /etc/ipsec.d/nfs.conf
Adicione as seguintes entradas ao arquivo de configuração:
conn fsxn authby=rsasig left=172.31.77.6 right=198.19.254.13 auto=start type=transport ikev2=insist keyexchange=ike ike=aes256-sha2_384;dh20 esp=aes_gcm_c256 leftcert=fsx leftrsasigkey=%cert leftid=%fromcert rightid=%fromcert rightrsasigkey=%cert
Você iniciará IPsec no cliente após a configuração IPsec em seu sistema de arquivos.
Configurando IPsec em seu sistema de arquivos
Esta seção fornece instruções sobre como instalar o certificado em seu sistema de ONTAP arquivos FSx for e configurá-lo. IPsec
Instalar o certificado no sistema de arquivos
Copie os arquivos do certificado raiz (
rootCA.pem)
), do certificado do cliente (cert.pem
) e da chave decriptografada (decrypted.key
) para o sistema de arquivos. Você precisará saber a senha do certificado.Para acessar o NetApp ONTAPCLI, estabeleça uma SSH sessão na porta de gerenciamento do sistema de NetApp ONTAP arquivos Amazon FSx for executando o comando a seguir. Substitua
pelo endereço IP da porta de gerenciamento do sistema de arquivos.management_endpoint_ip
[~]$
ssh fsxadmin@
management_endpoint_ip
Para obter mais informações, consulte Gerenciando sistemas de arquivos com a ONTAP CLI.
Use cat em um cliente (não no sistema de arquivos) para listar o conteúdo dos arquivos
rootCA.pem
,cert.pem
edecrypted.key
para que você possa copiar a saída de cada arquivo e colá-la quando solicitado nas etapas a seguir.$ >
cat cert.pem
Copie o conteúdo do certificado.
Você deve instalar todos os certificados de CA usados durante a autenticação mútua, inclusive do lado do cliente e ONTAP do lado do lado do cliente, no gerenciamento de ONTAP certificadosCAs, a menos que ele já esteja instalado (como é o caso de uma CA raiz ONTAP autoassinada).
Use o
security certificate install
NetApp CLI comando da seguinte forma para instalar o certificado do cliente:FSxID123:: >
security certificate install -vserver
dr
-type client -cert-name ipsec-client-certPlease enter Certificate: Press <Enter> when done
Cole o conteúdo do arquivo
cert.pem
que você copiou anteriormente e pressione Enter.Please enter Private Key: Press <Enter> when done
Cole o conteúdo do arquivo
decrypted.key
e pressione Enter.Do you want to continue entering root and/or intermediate certificates {y|n}:
Insira
n
para concluir a inserção do certificado do cliente.Crie e instale um certificado para uso peloSVM. A CA emissora desse certificado já deve estar instalada ONTAP e adicionada. IPsec
Use o seguinte comando para instalar o certificado raiz:
FSxID123:: >
security certificate install -vserver
dr
-type server-ca -cert-name ipsec-ca-certPlease enter Certificate: Press <Enter> when done
Cole o conteúdo do arquivo
rootCA.pem
e pressione Enter.Para garantir que a CA instalada esteja dentro do caminho de busca da IPsec CA durante a autenticação, adicione o gerenciamento de ONTAP certificados CAs ao IPsec módulo usando o comando “security ipsec ca-certificate add”.
Digite o seguinte comando para adicionar o certificado raiz:
FSxID123:: >
security ipsec ca-certificate add -vserver
dr
-ca-certs ipsec-ca-certDigite o comando a seguir para criar a IPsec política necessária no banco de dados de políticas de segurança (SPD).
security ipsec policy create -vserver
dr
-namepolicy-name
-local-ip-subnets198.19.254.13/32
-remote-ip-subnets172.31.0.0/16
-auth-method PKI -action ESP_TRA -cipher-suite SUITEB_GCM256 -cert-name ipsec-client-cert -local-identity "CN=*.ec2.internal" -remote-identity "CN=*.ec2.internal"Use o comando a seguir para mostrar a IPsec política para confirmação do sistema de arquivos.
FSxID123:: >
security ipsec policy show -vserver
dr
-instanceVserver: dr Policy Name: promise Local IP Subnets: 198.19.254.13/32 Remote IP Subnets: 172.31.0.0/16 Local Ports: 0-0 Remote Ports: 0-0 Protocols: any Action: ESP_TRA Cipher Suite: SUITEB_GCM256 IKE Security Association Lifetime: 86400 IPsec Security Association Lifetime: 28800 IPsec Security Association Lifetime (bytes): 0 Is Policy Enabled: true Local Identity: CN=*.ec2.internal Remote Identity: CN=*.ec2.internal Authentication Method: PKI Certificate for Local Identity: ipsec-client-cert
Comece IPsec com o cliente
Agora IPsec está configurado no sistema de ONTAP arquivos FSx for e no cliente, você pode começar IPsec no cliente.
Conecte-se ao seu sistema cliente usandoSSH.
ComeçarIPsec.
$
sudo ipsec start
Verifique o status doIPsec.
$
sudo ipsec status
Monte um volume no sistema de arquivos.
$
sudo mount -t nfs
198.19.254.13:/benchmark
/home/ec2-user/acm/dr
Verifique a IPsec configuração mostrando a conexão criptografada em seu sistema de ONTAP arquivos FSx for.
FSxID123:: >
security ipsec show-ikesa -node FsxId
123
FsxId08ac16c7ec2781a58::> security ipsec show-ikesa -node FsxId08ac16c7ec2781a58-01 Policy Local Remote Vserver Name Address Address Initator-SPI State ----------- ------ --------------- --------------- ---------------- ----------- dr
policy-name
198.19.254.13 172.31.77.6 551c55de57fe8976 ESTABLISHED fsxpolicy-name
198.19.254.38 172.31.65.193 4fd3f22c993e60c5 ESTABLISHED 2 entries were displayed.
Configuração IPsec para vários clientes
Quando um pequeno número de clientes precisa alavancarIPsec, usar uma única SPD entrada para cada cliente é suficiente. No entanto, quando centenas ou até milhares de clientes precisarem aproveitarIPsec, recomendamos que você use a configuração de IPsec vários clientes.
FSxfor ONTAP compatível com a conexão de vários clientes em várias redes a um único endereço SVM IP com IPsec habilitado. Você pode fazer isso usando a configuração subnet
ou Allow all clients
, que são explicadas nos seguintes procedimentos:
Para configurar IPsec para vários clientes usando uma configuração de sub-rede
Para permitir que todos os clientes em uma sub-rede específica (192.168.134.0/24, por exemplo) se conectem a um único endereço SVM IP usando uma única entrada de SPD política, você deve especificar o formato na sub-rede. remote-ip-subnets
Além disso, especifique o campo remote-identity
com a identidade correta no lado do cliente.
Importante
Ao usar a autenticação de certificado, cada cliente pode usar seu próprio certificado exclusivo ou um certificado compartilhado para autenticação. FSxfor ONTAP IPsec verifica a validade do certificado com base no CAs instalado em seu armazenamento confiável local. FSxfor ONTAP também suporta a verificação da lista de revogação de certificados (CRL).
Para acessar o NetApp ONTAPCLI, estabeleça uma SSH sessão na porta de gerenciamento do sistema de NetApp ONTAP arquivos Amazon FSx for executando o comando a seguir. Substitua
pelo endereço IP da porta de gerenciamento do sistema de arquivos.management_endpoint_ip
[~]$
ssh fsxadmin@
management_endpoint_ip
Para obter mais informações, consulte Gerenciando sistemas de arquivos com a ONTAP CLI.
Use o
security ipsec policy create
NetApp ONTAP CLI comando da seguinte forma, substituindo osample
valores com seus valores específicos.FsxId123456::>
security ipsec policy create -vserver
svm_name
-namepolicy_name
\ -local-ip-subnets192.168.134.34/32
-remote-ip-subnets192.168.134.0/24
\ -local-ports2049
-protocolstcp
-auth-method PSK \ -cert-namemy_nfs_server_cert
-local-identityontap_side_identity
\ -remote-identityclient_side_identity
Para configurar IPsec para vários clientes usando uma configuração de permitir todos os clientes
Para permitir que qualquer cliente, independentemente do endereço IP de origem, se conecte ao endereço SVM IPsec IP ativado, use o 0.0.0.0/0
curinga ao especificar o remote-ip-subnets
campo.
Além disso, especifique o campo remote-identity
com a identidade correta no lado do cliente. No caso da autenticação de certificado, você pode digitar ANYTHING
.
Além disso, quando o curinga 0.0.0.0/0 é usado, você deve configurar um número de porta local ou remota específico para uso. Por exemplo, NFS porta 2049.
Para acessar o NetApp ONTAPCLI, estabeleça uma SSH sessão na porta de gerenciamento do sistema de NetApp ONTAP arquivos Amazon FSx for executando o comando a seguir. Substitua
pelo endereço IP da porta de gerenciamento do sistema de arquivos.management_endpoint_ip
[~]$
ssh fsxadmin@
management_endpoint_ip
Para obter mais informações, consulte Gerenciando sistemas de arquivos com a ONTAP CLI.
Use o
security ipsec policy create
NetApp ONTAP CLI comando da seguinte forma, substituindo osample
valores com seus valores específicos.FsxId123456::>
security ipsec policy create -vserver
svm_name
-namepolicy_name
\ -local-ip-subnets192.168.134.34/32
-remote-ip-subnets 0.0.0.0/0 \ -local-ports2049
-protocolstcp
-auth-method PSK \ -cert-namemy_nfs_server_cert
-local-identityontap_side_identity
\ -local-ports2049
-remote-identityclient_side_identity