Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Konfiguration IPsec mithilfe der Zertifikatsauthentifizierung
Die folgenden Themen enthalten Anweisungen zur Konfiguration der IPsec Verschlüsselung mithilfe der Zertifikatsauthentifizierung auf einem FSx ONTAP-Dateisystem und einem Client, auf dem IPsec Libreswan ausgeführt wird. Diese Lösung verwendet AWS Certificate Manager und AWS Private Certificate Authority , um eine private Zertifizierungsstelle zu erstellen und die Zertifikate zu generieren.
Die grundlegenden Schritte zur Konfiguration der IPsec Verschlüsselung mithilfe der Zertifikatsauthentifizierung FSx für ONTAP-Dateisysteme und verbundene Clients lauten wie folgt:
1. Richten Sie eine Zertifizierungsstelle für die Ausstellung von Zertifikaten ein.
1. Generieren und exportieren Sie CA-Zertifikate für das Dateisystem und den Client.
1. Installieren Sie das Zertifikat und konfigurieren Sie es IPsec auf der Client-Instanz.
1. Installieren Sie das Zertifikat und konfigurieren Sie es IPsec auf Ihrem Dateisystem.
1. Definieren Sie die Sicherheitsrichtlinien-Datenbank (SPD).
1. Konfigurieren Sie IPsec für den Zugriff mehrerer Clients.
## CA-Zertifikate erstellen und installieren
Für die Zertifikatsauthentifizierung müssen Sie Zertifikate von einer Zertifizierungsstelle auf Ihrem FSx für ONTAP Dateisystem und den Clients, die auf die Daten in Ihrem Dateisystem zugreifen, generieren und installieren. Im folgenden Beispiel wird AWS Private Certificate Authority eine private Zertifizierungsstelle eingerichtet und die Zertifikate für die Installation im Dateisystem und auf dem Client generiert. Mit dieser AWS Private Certificate Authority Methode können Sie eine vollständig AWS gehostete Hierarchie von Stamm- und untergeordneten Zertifizierungsstellen (CAs) für den internen Gebrauch in Ihrer Organisation erstellen. Dieser Prozess besteht aus fünf Schritten:
1. Erstellen Sie eine private Zertifizierungsstelle (CA) mit AWS Private CA
1. Stellen Sie das Stammzertifikat auf der privaten CA aus und installieren Sie es
1. Fordern Sie ein privates Zertifikat AWS Certificate Manager für Ihr Dateisystem und Ihre Clients an
1. Exportieren Sie das Zertifikat für das Dateisystem und die Clients.
Weitere Informationen finden Sie unter [Private CA-Administration](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html) im AWS Private Certificate Authority Benutzerhandbuch.
**Um die private Root-CA zu erstellen**
1. Wenn Sie eine Zertifizierungsstelle erstellen, müssen Sie die CA-Konfiguration in einer von Ihnen bereitgestellten Datei angeben. Der folgende Befehl verwendet den Nano-Texteditor, um die `ca_config.txt` Datei zu erstellen, in der die folgenden Informationen angegeben sind:
+ Den Namen des Algorithmus
+ Der Signaturalgorithmus, den die CA zum Signieren verwendet
+ X.500-Themeninformationen
```
$ > nano ca_config.txt
```
Der Texteditor wird angezeigt.
1. Bearbeiten Sie die Datei mit den Spezifikationen für Ihre CA.
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"*.ec2.internal"
}
}
```
1. Speichern und schließen Sie die Datei und beenden Sie den Texteditor. Weitere Informationen finden Sie im AWS Private Certificate Authority Benutzerhandbuch unter [Verfahren zum Erstellen einer Zertifizierungsstelle](https://docs.aws.amazon.com/privateca/latest/userguide/Create-CA-CLI.html).
1. Verwenden Sie den [create-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority.html) AWS Private CA CLI-Befehl, um eine private CA zu erstellen.
```
~/home > aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 --region {{aws-region}}
```
Bei Erfolg gibt dieser Befehl den Amazon-Ressourcennamen (ARN) der CA aus.
```
{
"CertificateAuthorityArn": "arn:aws:acm-pca:{{aws-region}}:111122223333:certificate-authority/{{12345678-1234-1234-1234-123456789012}}"
}
```
**Um ein Zertifikat für Ihre private Root-CA (AWS CLI) zu erstellen und zu installieren**
1. Generieren Sie mit dem [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html) AWS CLI-Befehl eine Zertifikatsignieranforderung (CSR).
```
$ aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn arn:aws:acm-pca:{{aws-region}}:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--output text \
--endpoint https://acm-pca.{{aws-region}}.amazonaws.com \
--region eu-west-1 > ca.csr
```
Die resultierende Datei`ca.csr`, eine im Base64-Format codierte PEM-Datei, hat das folgende Aussehen.
```
-----BEGIN CERTIFICATE-----
MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC
VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6
b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd
BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN
MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD
VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z
b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt
YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ
21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T
rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE
Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4
nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb
FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb
NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE=
-----END CERTIFICATE-----
```
Weitere Informationen finden Sie im Benutzerhandbuch unter [Installation eines Root-CA-Zertifikats](https://docs.aws.amazon.com/privateca/latest/userguide/PCACertInstall.html#InstallRoot). AWS Private Certificate Authority
1. Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) AWS CLI Befehl, um das Root-Zertifikat auszustellen und auf Ihrer privaten CA zu installieren.
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn arn:aws:acm-pca:{{aws-region}}:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--csr file://ca.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
--validity Value=3650,Type=DAYS --region {{aws-region}}
```
1. Laden Sie das Stammzertifikat mit dem [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) AWS CLI Befehl herunter.
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:{{aws-region}}:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:{{aws-region}}:486768734100:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/abcdef0123456789abcdef0123456789 \
--output text --region {{aws-region}} > rootCA.pem
```
1. Installieren Sie das Stammzertifikat mit dem [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html) AWS CLI Befehl auf Ihrer privaten CA.
```
$ aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:{{aws-region}}:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate file://rootCA.pem --region {{aws-region}}
```
**Generieren und exportieren Sie das Dateisystem und das Client-Zertifikat**
1. Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) AWS CLI Befehl, um ein AWS Certificate Manager Zertifikat für Ihr Dateisystem und Ihre Clients anzufordern.
```
$ aws acm request-certificate \
--domain-name *.ec2.internal \
--idempotency-token 12345 \
--region {{aws-region}} \
--certificate-authority-arn arn:aws:acm-pca:{{aws-region}}:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012
```
Wenn die Anfrage erfolgreich ist, wird der ARN des ausgestellten Zertifikats zurückgegeben.
1. Aus Sicherheitsgründen müssen Sie dem privaten Schlüssel beim Exportieren eine Passphrase zuweisen. Erstellen Sie eine Passphrase und speichern Sie sie in einer Datei mit dem Namen `passphrase.txt`
1. Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html) AWS CLI Befehl, um das zuvor ausgestellte private Zertifikat zu exportieren. Die exportierte Datei enthält das Zertifikat, die Zertifikatskette und den verschlüsselten privaten 2048-Bit-RSA-Schlüssel, der dem öffentlichen Schlüssel zugeordnet ist, der in das Zertifikat eingebettet ist. Aus Sicherheitsgründen müssen Sie dem privaten Schlüssel beim Exportieren eine Passphrase zuweisen. Das folgende Beispiel bezieht sich auf eine Linux EC2-Instance.
```
$ aws acm export-certificate \
--certificate-arn arn:aws:acm:{{aws-region}}:111122223333:certificate/12345678-1234-1234-1234-123456789012 \
--passphrase $(cat passphrase.txt | base64) --region {{aws-region}} > exported_cert.json
```
1. Verwenden Sie die folgenden `jq` Befehle, um den privaten Schlüssel und das Zertifikat aus der JSON-Antwort zu extrahieren.
```
$ passphrase=$(cat passphrase.txt | base64)
cat exported_cert.json | jq -r .PrivateKey > prv.key
cat exported_cert.json | jq -r .Certificate > cert.pem
```
1. Verwenden Sie den folgenden `openssl` Befehl, um den privaten Schlüssel aus der JSON-Antwort zu entschlüsseln. Nach Eingabe des Befehls werden Sie zur Eingabe der Passphrase aufgefordert.
```
$ openssl rsa -in prv.key -passin pass:$passphrase -out decrypted.key
```
## Installation und Konfiguration von Libreswan IPsec auf einem Amazon Linux 2-Client
Die folgenden Abschnitte enthalten Anweisungen zur Installation und Konfiguration von Libreswan IPSec auf einer Amazon EC2 EC2-Instance, auf der Amazon Linux 2 ausgeführt wird.
**Um Libreswan zu installieren und zu konfigurieren**
1. Stellen Sie über SSH eine Connect zu Ihrer EC2-Instance her. Spezifische Anweisungen dazu finden Sie unter Herstellen einer [Connect zu Ihrer Linux-Instance mithilfe eines SSH-Clients](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html#AccessingInstancesLinuxSSHClient) im Amazon Elastic Compute Cloud-Benutzerhandbuch für Linux-Instances.
1. Führen Sie zur Installation `libreswan` den folgenden Befehl aus:
```
$ sudo yum install libreswan
```
1. (Optional) Bei der Überprüfung IPsec in einem späteren Schritt werden diese Eigenschaften möglicherweise ohne diese Einstellungen gekennzeichnet. Wir empfehlen, Ihr Setup zunächst ohne diese Einstellungen zu testen. Wenn bei Ihrer Verbindung Probleme auftreten, kehren Sie zu diesem Schritt zurück und nehmen Sie die folgenden Änderungen vor.
Verwenden Sie nach Abschluss der Installation Ihren bevorzugten Texteditor, um der `/etc/sysctl.conf` Datei die folgenden Einträge hinzuzufügen.
```
net.ipv4.ip_forward=1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.lo.send_redirects = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.eth0.rp_filter = 0
```
Speichern Sie die Änderungen und beenden Sie den Texteditor.
1. Übernehmen Sie die Änderungen.
```
$ sudo sysctl -p
```
1. Überprüfen Sie die IPsec Konfiguration.
```
$ sudo ipsec verify
```
Stellen Sie sicher, dass die von `Libreswan` Ihnen installierte Version läuft.
1. Initialisieren Sie die IPsec NSS-Datenbank.
```
$ sudo ipsec checknss
```
**Um das Zertifikat auf dem Client zu installieren**
1. Kopieren Sie das [Zertifikat, das Sie für den Client generiert haben](#generate-certificate), in das Arbeitsverzeichnis auf der EC2-Instance. Sie
1. Exportieren Sie das zuvor generierte Zertifikat in ein Format, das mit `libreswan` kompatibel ist.
```
$ openssl pkcs12 -export -in cert.pem -inkey decrypted.key \
-certfile rootCA.pem -out certkey.p12 -name fsx
```
1. Importieren Sie den neu formatierten Schlüssel und geben Sie die Passphrase an, wenn Sie dazu aufgefordert werden.
```
$ sudo ipsec import certkey.p12
```
1. Erstellen Sie eine IPsec Konfigurationsdatei mit dem bevorzugten Texteditor.
```
$ sudo cat /etc/ipsec.d/nfs.conf
```
Fügen Sie der Konfigurationsdatei die folgenden Einträge hinzu:
```
conn fsxn
authby=rsasig
left=172.31.77.6
right=198.19.254.13
auto=start
type=transport
ikev2=insist
keyexchange=ike
ike=aes256-sha2_384;dh20
esp=aes_gcm_c256
leftcert=fsx
leftrsasigkey=%cert
leftid=%fromcert
rightid=%fromcert
rightrsasigkey=%cert
```
Sie beginnen IPsec auf dem Client, nachdem Sie die Konfiguration IPsec auf Ihrem Dateisystem vorgenommen haben.
## Konfiguration IPsec auf Ihrem Dateisystem
Dieser Abschnitt enthält Anweisungen zur Installation des Zertifikats auf Ihrem FSx ONTAP-Dateisystem und zur Konfiguration IPsec.
**Um das Zertifikat auf Ihrem Dateisystem zu installieren**
1. Kopieren Sie das Stammzertifikat ()`rootCA.pem)`, das Client-Zertifikat (`cert.pem`) und die entschlüsselten Schlüsseldateien (`decrypted.key`) in Ihr Dateisystem. Sie müssen die Passphrase für das Zertifikat kennen.
1. Um auf die ONTAP CLI zuzugreifen, richten Sie eine SSH-Sitzung auf dem Management-Port des Amazon FSx for NetApp ONTAP-Dateisystems oder der SVM ein, indem Sie den folgenden Befehl ausführen. `{{management_endpoint_ip}}`Ersetzen Sie es durch die IP-Adresse des Management-Ports des Dateisystems.
```
[~]$ ssh fsxadmin@{{management_endpoint_ip}}
```
Weitere Informationen finden Sie unter [Verwaltung von Dateisystemen mit der ONTAP CLI](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Verwenden Sie es **cat** auf einem Client (nicht in Ihrem Dateisystem), um den Inhalt der `decrypted.key` Dateien aufzulisten`rootCA.pem`, `cert.pem` sodass Sie die Ausgabe jeder Datei kopieren und einfügen können, wenn Sie in den folgenden Schritten dazu aufgefordert werden.
```
$ > cat cert.pem
```
Kopieren Sie den Inhalt des Zertifikats.
1. Sie müssen alle CA-Zertifikate, die während der gegenseitigen Authentifizierung verwendet wurden, sowohl auf der TAP- als auch auf der Client-Seite CAs, in der ONTAP Zertifikatsverwaltung installieren, sofern sie nicht bereits installiert ist (wie es bei einer selbstsignierten ONTAP-Root-CA der Fall ist).
Verwenden Sie den `security certificate install` NetApp CLI-Befehl wie folgt, um das Client-Zertifikat zu installieren:
```
FSxID123:: > security certificate install -vserver {{dr}} -type client -cert-name ipsec-client-cert
```
```
Please enter Certificate: Press when done
```
Fügen Sie den Inhalt der `cert.pem` Datei ein, die Sie zuvor kopiert haben, und drücken Sie die Eingabetaste.
```
Please enter Private Key: Press when done
```
Fügen Sie den Inhalt der `decrypted.key` Datei ein und drücken Sie die Eingabetaste.
```
Do you want to continue entering root and/or intermediate certificates {y|n}:
```
Geben Sie `n` die Eingabetaste ein, um die Eingabe des Client-Zertifikats abzuschließen.
1. Erstellen und installieren Sie ein Zertifikat zur Verwendung durch die SVM. Die ausstellende Zertifizierungsstelle dieses Zertifikats muss bereits installiert ONTAP und hinzugefügt worden sein. IPsec
Verwenden Sie den folgenden Befehl, um das Stammzertifikat zu installieren.
```
FSxID123:: > security certificate install -vserver {{dr}} -type server-ca -cert-name ipsec-ca-cert
```
```
Please enter Certificate: Press when done
```
Fügen Sie den Inhalt der `rootCA.pem` Datei ein und drücken Sie die Eingabetaste.
1. Um sicherzustellen, dass sich die installierte CA während der Authentifizierung innerhalb des IPsec CA-Suchpfads befindet, fügen Sie dem IPsec Modul die ONTAP Zertifikatsverwaltung CAs mit dem Befehl „security ipsec ca-certificate add“ hinzu.
Geben Sie den folgenden Befehl ein, um das Stammzertifikat hinzuzufügen.
```
FSxID123:: > security ipsec ca-certificate add -vserver {{dr}} -ca-certs ipsec-ca-cert
```
1. Geben Sie den folgenden Befehl ein, um die erforderliche IPsec Richtlinie in der Security Policy Database (SPD) zu erstellen.
```
security ipsec policy create -vserver {{dr}} -name {{policy-name}} -local-ip-subnets {{198.19.254.13/32}} -remote-ip-subnets {{172.31.0.0/16}} -auth-method PKI -action ESP_TRA -cipher-suite SUITEB_GCM256 -cert-name ipsec-client-cert -local-identity "CN=*.ec2.internal" -remote-identity "CN=*.ec2.internal"
```
1. Verwenden Sie den folgenden Befehl, um die IPsec Richtlinie für das Dateisystem zur Bestätigung anzuzeigen.
```
FSxID123:: > security ipsec policy show -vserver {{dr}} -instance
Vserver: dr
Policy Name: promise
Local IP Subnets: 198.19.254.13/32
Remote IP Subnets: 172.31.0.0/16
Local Ports: 0-0
Remote Ports: 0-0
Protocols: any
Action: ESP_TRA
Cipher Suite: SUITEB_GCM256
IKE Security Association Lifetime: 86400
IPsec Security Association Lifetime: 28800
IPsec Security Association Lifetime (bytes): 0
Is Policy Enabled: true
Local Identity: CN=*.ec2.internal
Remote Identity: CN=*.ec2.internal
Authentication Method: PKI
Certificate for Local Identity: ipsec-client-cert
```
## Starten Sie IPsec auf dem Client
IPsec Ist jetzt sowohl auf dem ONTAP-Dateisystem als auch auf dem Client konfiguriert, Sie können IPsec auf dem Client beginnen. FSx
1. Stellen Sie über SSH eine Connect zu Ihrem Clientsystem her.
1. Starten IPsec.
```
$ sudo ipsec start
```
1. Überprüfen Sie den Status von IPsec.
```
$ sudo ipsec status
```
1. Hängen Sie ein Volume in Ihrem Dateisystem ein.
```
$ sudo mount -t nfs {{198.19.254.13:/benchmark}} {{/home/ec2-user/acm/dr}}
```
1. Überprüfen Sie die IPsec Einrichtung, indem Sie die verschlüsselte Verbindung auf Ihrem FSx ONTAP-Dateisystem anzeigen.
```
FSxID123:: > security ipsec show-ikesa -node FsxId{{123}}
FsxId08ac16c7ec2781a58::> security ipsec show-ikesa -node FsxId08ac16c7ec2781a58-01
Policy Local Remote
Vserver Name Address Address Initator-SPI State
----------- ------ --------------- --------------- ---------------- -----------
dr {{policy-name}}
198.19.254.13 172.31.77.6 551c55de57fe8976 ESTABLISHED
fsx {{policy-name}}
198.19.254.38 172.31.65.193 4fd3f22c993e60c5 ESTABLISHED
2 entries were displayed.
```
## Einrichtung IPsec für mehrere Clients
Wenn eine kleine Anzahl von Kunden die Hebelwirkung nutzen muss IPsec, reicht es aus, für jeden Kunden einen einzigen SPD-Eintrag zu verwenden. Wenn jedoch Hunderte oder sogar Tausende von Kunden die Nutzung nutzen müssen IPsec, empfehlen wir, die Konfiguration mit IPsec mehreren Clients zu verwenden.
FSx denn ONTAP unterstützt die Verbindung mehrerer Clients in vielen Netzwerken mit IPsec einer einzigen SVM-IP-Adresse, wenn aktiviert. Sie können dies entweder mithilfe der `subnet` Konfiguration oder der Konfiguration erreichen, die in den folgenden Verfahren erläutert werden: `Allow all clients`
**So konfigurieren Sie mithilfe einer Subnetzkonfiguration IPsec für mehrere Clients**
Damit alle Clients in einem bestimmten Subnetz (z. B. 192.168.134.0/24) über einen einzigen SPD-Richtlinieneintrag eine Verbindung zu einer einzigen SVM-IP-Adresse herstellen können, müssen Sie das im Subnetzformat angeben. `remote-ip-subnets` Darüber hinaus müssen Sie das Feld mit der `remote-identity` richtigen clientseitigen Identität angeben.
**Wichtig**
Bei Verwendung der Zertifikatsauthentifizierung kann jeder Client entweder sein eigenes eindeutiges Zertifikat oder ein gemeinsames Zertifikat zur Authentifizierung verwenden. FSx Denn ONTAP IPsec überprüft die Gültigkeit des Zertifikats anhand des auf seinem lokalen Vertrauensspeicher CAs installierten Zertifikats. FSx for ONTAP unterstützt auch die Überprüfung von Zertifikatssperrlisten (CRL).
1. Um auf die ONTAP CLI zuzugreifen, richten Sie eine SSH-Sitzung auf dem Management-Port des Amazon FSx for NetApp ONTAP-Dateisystems oder der SVM ein, indem Sie den folgenden Befehl ausführen. `{{management_endpoint_ip}}`Ersetzen Sie es durch die IP-Adresse des Management-Ports des Dateisystems.
```
[~]$ ssh fsxadmin@{{management_endpoint_ip}}
```
Weitere Informationen finden Sie unter [Verwaltung von Dateisystemen mit der ONTAP CLI](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Verwenden Sie den `security ipsec policy create` NetApp ONTAP CLI-Befehl wie folgt und ersetzen Sie die {{sample}} Werte durch Ihre spezifischen Werte.
```
FsxId123456::> security ipsec policy create -vserver {{svm_name}} -name {{policy_name}} \
-local-ip-subnets {{192.168.134.34/32}} -remote-ip-subnets {{192.168.134.0/24}} \
-local-ports {{2049}} -protocols {{tcp}} -auth-method PSK \
-cert-name {{my_nfs_server_cert}} -local-identity {{ontap_side_identity}} \
-remote-identity {{client_side_identity}}
```
**Um die Konfiguration IPsec für mehrere Clients mithilfe der Konfiguration „Alle Clients zulassen“ zu konfigurieren**
Damit jeder Client unabhängig von seiner IPsec Quell-IP-Adresse eine Verbindung mit der SVM-fähigen IP-Adresse herstellen kann, verwenden Sie bei der Angabe des `0.0.0.0/0` Felds den Platzhalter. `remote-ip-subnets`
Darüber hinaus müssen Sie das `remote-identity` Feld mit der richtigen clientseitigen Identität angeben. Für die Zertifikatsauthentifizierung können Sie Folgendes eingeben`ANYTHING`.
Wenn der Platzhalter 0.0.0.0/0 verwendet wird, müssen Sie außerdem eine bestimmte lokale oder Remote-Portnummer konfigurieren, die verwendet werden soll. Zum Beispiel NFS-Port 2049.
1. Um auf die ONTAP CLI zuzugreifen, richten Sie eine SSH-Sitzung auf dem Management-Port des Amazon FSx for NetApp ONTAP-Dateisystems oder der SVM ein, indem Sie den folgenden Befehl ausführen. `{{management_endpoint_ip}}`Ersetzen Sie es durch die IP-Adresse des Management-Ports des Dateisystems.
```
[~]$ ssh fsxadmin@{{management_endpoint_ip}}
```
Weitere Informationen finden Sie unter [Verwaltung von Dateisystemen mit der ONTAP CLI](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Verwenden Sie den `security ipsec policy create` NetApp ONTAP CLI-Befehl wie folgt und ersetzen Sie die {{sample}} Werte durch Ihre spezifischen Werte.
```
FsxId123456::> security ipsec policy create -vserver {{svm_name}} -name {{policy_name}} \
-local-ip-subnets {{192.168.134.34/32}} -remote-ip-subnets 0.0.0.0/0 \
-local-ports {{2049}} -protocols {{tcp}} -auth-method PSK \
-cert-name {{my_nfs_server_cert}} -local-identity {{ontap_side_identity}} \
-local-ports {{2049}} -remote-identity {{client_side_identity}}
```