Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengkonfigurasi IPsec menggunakan otentikasi sertifikat
Topik berikut memberikan instruksi untuk mengkonfigurasi enkripsi IPsec menggunakan otentikasi sertifikat pada FSx untuk sistem file ONTAP dan klien yang menjalankan Libreswan IPSec. Solusi ini menggunakan AWS Certificate Manager dan AWS Private Certificate Authority membuat otoritas sertifikat pribadi dan untuk menghasilkan sertifikat.
Langkah-langkah tingkat tinggi untuk mengkonfigurasi enkripsi IPsec menggunakan otentikasi sertifikat pada FSx untuk sistem file ONTAP dan klien yang terhubung adalah sebagai berikut:
1. Memiliki otoritas sertifikat untuk menerbitkan sertifikat.
1. Menghasilkan dan mengekspor sertifikat CA untuk sistem file dan klien.
1. Instal sertifikat dan konfigurasikan IPsec pada instance klien.
1. Instal sertifikat dan konfigurasikan IPsec pada sistem file Anda.
1. Tentukan database kebijakan keamanan (SPD).
1. Konfigurasikan IPSec untuk beberapa akses klien.
## Membuat dan menginstal sertifikat CA
Untuk otentikasi sertifikat, Anda perlu membuat dan menginstal sertifikat dari otoritas sertifikat pada FSx Anda untuk sistem file ONTAP dan klien yang akan mengakses data pada sistem file Anda. Contoh berikut digunakan AWS Private Certificate Authority untuk mengatur otoritas sertifikat pribadi, dan menghasilkan sertifikat untuk menginstal pada sistem file dan klien. Dengan menggunakan AWS Private Certificate Authority, Anda dapat membuat hierarki root dan subordinate certificate authority (CA) yang sepenuhnya AWS dihosting untuk penggunaan internal oleh organisasi Anda. Proses ini memiliki lima langkah:
1. Membuat Private Certificate Authority (CA) menggunakan AWS Private CA
1. Keluarkan dan instal sertifikat root pada CA pribadi
1. Minta sertifikat pribadi AWS Certificate Manager untuk sistem file dan klien Anda
1. Ekspor sertifikat untuk sistem file dan klien.
Untuk informasi selengkapnya, lihat [Administrasi CA pribadi](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html) di Panduan AWS Private Certificate Authority Pengguna.
**Untuk membuat CA pribadi root**
1. Saat Anda membuat CA, Anda harus menentukan konfigurasi CA dalam file yang Anda berikan. Perintah berikut menggunakan editor teks Nano untuk membuat `ca_config.txt` file, yang menentukan informasi berikut:
+ Nama algoritme
+ Algoritma penandatanganan yang digunakan CA untuk menandatangani
+ X.500 informasi subjek
```
$ > nano ca_config.txt
```
Editor teks muncul.
1. Edit file dengan spesifikasi untuk CA Anda.
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"*.ec2.internal"
}
}
```
1. Simpan dan tutup file, keluar dari editor teks. Untuk informasi selengkapnya, lihat [Prosedur untuk membuat CA](https://docs.aws.amazon.com/privateca/latest/userguide/Create-CA-CLI.html) di Panduan AWS Private Certificate Authority Pengguna.
1. Gunakan perintah AWS Private CA CLI [create-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority.html) untuk membuat CA pribadi.
```
~/home > aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 --region {{aws-region}}
```
Jika berhasil, perintah ini mengeluarkan Amazon Resource Name (ARN) dari CA.
```
{
"CertificateAuthorityArn": "arn:aws:acm-pca:{{aws-region}}:111122223333:certificate-authority/{{12345678-1234-1234-1234-123456789012}}"
}
```
**Untuk membuat dan menginstal sertifikat untuk root pribadi CA (AWS CLI)**
1. Buat permintaan penandatanganan sertifikat (CSR) menggunakan perintah [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html) AWS CLI.
```
$ aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn arn:aws:acm-pca:{{aws-region}}:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--output text \
--endpoint https://acm-pca.{{aws-region}}.amazonaws.com \
--region eu-west-1 > ca.csr
```
File yang dihasilkan`ca.csr`, file PEM yang dikodekan dalam format base64, memiliki tampilan sebagai berikut.
```
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
```
Untuk informasi selengkapnya, lihat [Menginstal sertifikat CA root](https://docs.aws.amazon.com/privateca/latest/userguide/PCACertInstall.html#InstallRoot) di Panduan AWS Private Certificate Authority Pengguna.
1. Gunakan [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) AWS CLI perintah untuk menerbitkan dan menginstal sertifikat root pada CA pribadi Anda.
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn arn:aws:acm-pca:{{aws-region}}:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--csr file://ca.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
--validity Value=3650,Type=DAYS --region {{aws-region}}
```
1. Unduh sertifikat root menggunakan [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) AWS CLI perintah.
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:{{aws-region}}:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:{{aws-region}}:486768734100:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/abcdef0123456789abcdef0123456789 \
--output text --region {{aws-region}} > rootCA.pem
```
1. Instal sertifikat root pada CA pribadi Anda menggunakan [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html) AWS CLI perintah.
```
$ aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:{{aws-region}}:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate file://rootCA.pem --region {{aws-region}}
```
**Menghasilkan dan mengekspor sistem file dan sertifikat klien**
1. Gunakan [https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) AWS CLI perintah untuk meminta AWS Certificate Manager sertifikat untuk digunakan pada sistem file dan klien Anda.
```
$ aws acm request-certificate \
--domain-name *.ec2.internal \
--idempotency-token 12345 \
--region {{aws-region}} \
--certificate-authority-arn arn:aws:acm-pca:{{aws-region}}:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012
```
Jika permintaan berhasil, ARN dari sertifikat yang dikeluarkan dikembalikan.
1. Untuk keamanan, Anda harus menetapkan frasa sandi untuk kunci pribadi saat mengekspornya. Buat frasa sandi dan simpan dalam file bernama `passphrase.txt`
1. Gunakan [https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html) AWS CLI perintah untuk mengekspor sertifikat pribadi yang dikeluarkan sebelumnya. File yang diekspor berisi sertifikat, rantai sertifikat, dan kunci RSA 2048-bit pribadi terenkripsi yang terkait dengan kunci publik yang disematkan dalam sertifikat. Untuk keamanan, Anda harus menetapkan frasa sandi untuk kunci pribadi saat mengekspornya. Contoh berikut adalah untuk instance Linux EC2.
```
$ aws acm export-certificate \
--certificate-arn arn:aws:acm:{{aws-region}}:111122223333:certificate/12345678-1234-1234-1234-123456789012 \
--passphrase $(cat passphrase.txt | base64) --region {{aws-region}} > exported_cert.json
```
1. Gunakan `jq` perintah berikut untuk mengekstrak kunci pribadi dan sertifikat dari respons JSON.
```
$ passphrase=$(cat passphrase.txt | base64)
cat exported_cert.json | jq -r .PrivateKey > prv.key
cat exported_cert.json | jq -r .Certificate > cert.pem
```
1. Gunakan `openssl` perintah berikut untuk mendekripsi kunci pribadi dari respons JSON. Setelah memasukkan perintah, Anda diminta untuk frasa sandi.
```
$ openssl rsa -in prv.key -passin pass:$passphrase -out decrypted.key
```
## Menginstal dan mengonfigurasi Libreswan IPSec pada klien Amazon Linux 2
Bagian berikut memberikan petunjuk untuk menginstal dan mengonfigurasi Libreswan IPSec pada instans Amazon EC2 yang menjalankan Amazon Linux 2.
**Untuk menginstal dan mengkonfigurasi Libreswan**
1. Connect ke instans EC2 Anda menggunakan SSH. Untuk petunjuk spesifik tentang cara melakukannya, lihat [Connect ke instans Linux menggunakan klien SSH](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html#AccessingInstancesLinuxSSHClient) di Panduan Pengguna Amazon Elastic Compute Cloud untuk Instans Linux.
1. Jalankan perintah berikut untuk menginstal`libreswan`:
```
$ sudo yum install libreswan
```
1. (Opsional) Saat memverifikasi IPsec di langkah selanjutnya, properti ini mungkin ditandai tanpa pengaturan ini. Kami menyarankan untuk menguji pengaturan Anda terlebih dahulu tanpa pengaturan ini. Jika koneksi Anda bermasalah, kembali ke langkah ini dan buat perubahan berikut.
Setelah instalasi selesai, gunakan editor teks pilihan Anda untuk menambahkan entri berikut ke file. `/etc/sysctl.conf`
```
net.ipv4.ip_forward=1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.lo.send_redirects = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.eth0.rp_filter = 0
```
Simpan perubahan dan keluar dari editor teks.
1. Terapkan perubahan.
```
$ sudo sysctl -p
```
1. Verifikasi konfigurasi IPsec.
```
$ sudo ipsec verify
```
Verifikasi bahwa versi yang `Libreswan` Anda instal sedang berjalan.
1. Inisialisasi database IPsec NSS.
```
$ sudo ipsec checknss
```
**Untuk menginstal sertifikat pada klien**
1. Salin [sertifikat yang Anda](#generate-certificate) buat untuk klien ke direktori kerja pada instans EC2. Anda
1. Ekspor sertifikat yang dihasilkan sebelumnya ke dalam format yang kompatibel dengan`libreswan`.
```
$ openssl pkcs12 -export -in cert.pem -inkey decrypted.key \
-certfile rootCA.pem -out certkey.p12 -name fsx
```
1. Impor kunci yang diformat ulang, berikan frasa sandi saat diminta.
```
$ sudo ipsec import certkey.p12
```
1. Buat file konfigurasi IPsec menggunakan editor teks pilihan.
```
$ sudo cat /etc/ipsec.d/nfs.conf
```
Tambahkan entri berikut ke file konfigurasi:
```
conn fsxn
authby=rsasig
left=172.31.77.6
right=198.19.254.13
auto=start
type=transport
ikev2=insist
keyexchange=ike
ike=aes256-sha2_384;dh20
esp=aes_gcm_c256
leftcert=fsx
leftrsasigkey=%cert
leftid=%fromcert
rightid=%fromcert
rightrsasigkey=%cert
```
Anda akan memulai IPsec pada klien setelah mengkonfigurasi IPsec pada sistem file Anda.
## Mengkonfigurasi IPsec pada sistem file Anda
Bagian ini memberikan petunjuk tentang menginstal sertifikat pada FSx Anda untuk sistem file ONTAP, dan mengkonfigurasi IPSec.
**Untuk menginstal sertifikat pada sistem file Anda**
1. Salin sertifikat root (`rootCA.pem)`, sertifikat klien (`cert.pem`) dan file kunci (`decrypted.key`) yang didekripsi ke sistem file Anda. Anda perlu mengetahui frasa sandi untuk sertifikat.
1. Untuk mengakses ONTAP CLI, buat sesi SSH pada port manajemen Amazon FSx untuk sistem file NetApp ONTAP atau SVM dengan menjalankan perintah berikut. Ganti `{{management_endpoint_ip}}` dengan alamat IP port manajemen sistem file.
```
[~]$ ssh fsxadmin@{{management_endpoint_ip}}
```
Untuk informasi selengkapnya, lihat [Mengelola sistem file dengan ONTAP CLI](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Gunakan **cat** pada klien (bukan pada sistem file Anda) untuk daftar konten`rootCA.pem`, `cert.pem` dan `decrypted.key` file sehingga Anda dapat menyalin output dari setiap file dan menempelkannya ketika diminta dalam langkah-langkah berikut.
```
$ > cat cert.pem
```
Salin isi sertifikat.
1. Anda harus menginstal semua sertifikat CA yang digunakan selama autentikasi bersama, termasuk keduanya ONTAP-side dan CA sisi klien, ke manajemen ONTAP sertifikat kecuali sudah diinstal (seperti halnya ROOT-CA yang ditandatangani sendiri ONTAP).
Gunakan perintah `security certificate install` NetApp CLI sebagai berikut untuk menginstal sertifikat klien:
```
FSxID123:: > security certificate install -vserver {{dr}} -type client -cert-name ipsec-client-cert
```
```
Please enter Certificate: Press when done
```
Tempel konten `cert.pem` file yang Anda salin sebelumnya dan tekan Enter.
```
Please enter Private Key: Press when done
```
Tempel di isi `decrypted.key` file, dan tekan enter.
```
Do you want to continue entering root and/or intermediate certificates {y|n}:
```
Masukkan `n` untuk menyelesaikan memasukkan sertifikat klien.
1. Buat dan instal sertifikat untuk digunakan oleh SVM. Penerbit CA sertifikat ini harus sudah diinstal ONTAP dan ditambahkan ke IPsec.
Gunakan perintah berikut untuk menginstal sertifikat root.
```
FSxID123:: > security certificate install -vserver {{dr}} -type server-ca -cert-name ipsec-ca-cert
```
```
Please enter Certificate: Press when done
```
Tempel di isi `rootCA.pem` file, dan tekan enter.
1. Untuk memastikan bahwa CA yang diinstal berada dalam jalur pencarian CA IPsec selama otentikasi, tambahkan CA manajemen ONTAP sertifikat ke modul IPsec menggunakan perintah “security ipsec ca-certificate add”.
Masukkan perintah berikut untuk menambahkan sertifikat root.
```
FSxID123:: > security ipsec ca-certificate add -vserver {{dr}} -ca-certs ipsec-ca-cert
```
1. Masukkan perintah berikut untuk membuat kebijakan IPsec yang diperlukan dalam database kebijakan keamanan (SPD).
```
security ipsec policy create -vserver {{dr}} -name {{policy-name}} -local-ip-subnets {{198.19.254.13/32}} -remote-ip-subnets {{172.31.0.0/16}} -auth-method PKI -action ESP_TRA -cipher-suite SUITEB_GCM256 -cert-name ipsec-client-cert -local-identity "CN=*.ec2.internal" -remote-identity "CN=*.ec2.internal"
```
1. Gunakan perintah berikut untuk menunjukkan kebijakan IPsec untuk sistem file untuk mengonfirmasi.
```
FSxID123:: > security ipsec policy show -vserver {{dr}} -instance
Vserver: dr
Policy Name: promise
Local IP Subnets: 198.19.254.13/32
Remote IP Subnets: 172.31.0.0/16
Local Ports: 0-0
Remote Ports: 0-0
Protocols: any
Action: ESP_TRA
Cipher Suite: SUITEB_GCM256
IKE Security Association Lifetime: 86400
IPsec Security Association Lifetime: 28800
IPsec Security Association Lifetime (bytes): 0
Is Policy Enabled: true
Local Identity: CN=*.ec2.internal
Remote Identity: CN=*.ec2.internal
Authentication Method: PKI
Certificate for Local Identity: ipsec-client-cert
```
## Mulai IPsec pada klien
Sekarang IPSec dikonfigurasi pada FSx untuk sistem file ONTAP dan klien, Anda dapat memulai IPSec pada klien.
1. Connect ke sistem klien Anda menggunakan SSH.
1. Mulai IPsec.
```
$ sudo ipsec start
```
1. Periksa status IPsec.
```
$ sudo ipsec status
```
1. Pasang volume pada sistem file Anda.
```
$ sudo mount -t nfs {{198.19.254.13:/benchmark}} {{/home/ec2-user/acm/dr}}
```
1. Verifikasi pengaturan IPsec dengan menunjukkan koneksi terenkripsi pada FSx Anda untuk sistem file ONTAP.
```
FSxID123:: > security ipsec show-ikesa -node FsxId{{123}}
FsxId08ac16c7ec2781a58::> security ipsec show-ikesa -node FsxId08ac16c7ec2781a58-01
Policy Local Remote
Vserver Name Address Address Initator-SPI State
----------- ------ --------------- --------------- ---------------- -----------
dr {{policy-name}}
198.19.254.13 172.31.77.6 551c55de57fe8976 ESTABLISHED
fsx {{policy-name}}
198.19.254.38 172.31.65.193 4fd3f22c993e60c5 ESTABLISHED
2 entries were displayed.
```
## Menyiapkan IPsec untuk beberapa klien
Ketika sejumlah kecil klien perlu memanfaatkan IPSec, menggunakan entri SPD tunggal untuk setiap klien sudah cukup. Namun, ketika ratusan atau bahkan ribuan klien perlu memanfaatkan IPSec, kami sarankan Anda menggunakan beberapa konfigurasi klien IPsec.
FSx untuk ONTAP mendukung menghubungkan beberapa klien di banyak jaringan ke satu alamat IP SVM dengan IPsec diaktifkan. Anda dapat melakukannya dengan menggunakan `subnet` konfigurasi atau `Allow all clients` konfigurasi, yang dijelaskan dalam prosedur berikut:
**Untuk mengkonfigurasi IPsec untuk beberapa klien menggunakan konfigurasi subnet**
Untuk mengizinkan semua klien pada subnet tertentu (192.168.134. 0/24 misalnya) untuk terhubung ke alamat IP SVM tunggal menggunakan entri kebijakan SPD tunggal, Anda harus menentukan `remote-ip-subnets` dalam bentuk subnet. Selain itu, Anda harus menentukan `remote-identity` bidang dengan identitas sisi klien yang benar.
**penting**
Saat menggunakan otentikasi sertifikat, setiap klien dapat menggunakan sertifikat unik mereka sendiri atau sertifikat bersama untuk mengautentikasi. FSx untuk ONTAP IPSec memeriksa validitas sertifikat berdasarkan CA yang diinstal pada toko kepercayaan lokalnya. FSx untuk ONTAP juga mendukung pemeriksaan daftar pencabutan sertifikat (CRL).
1. Untuk mengakses ONTAP CLI, buat sesi SSH pada port manajemen Amazon FSx untuk sistem file NetApp ONTAP atau SVM dengan menjalankan perintah berikut. Ganti `{{management_endpoint_ip}}` dengan alamat IP port manajemen sistem file.
```
[~]$ ssh fsxadmin@{{management_endpoint_ip}}
```
Untuk informasi selengkapnya, lihat [Mengelola sistem file dengan ONTAP CLI](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Gunakan perintah `security ipsec policy create` NetApp ONTAP CLI sebagai berikut, ganti {{sample}} nilai dengan nilai spesifik Anda.
```
FsxId123456::> security ipsec policy create -vserver {{svm_name}} -name {{policy_name}} \
-local-ip-subnets {{192.168.134.34/32}} -remote-ip-subnets {{192.168.134.0/24}} \
-local-ports {{2049}} -protocols {{tcp}} -auth-method PSK \
-cert-name {{my_nfs_server_cert}} -local-identity {{ontap_side_identity}} \
-remote-identity {{client_side_identity}}
```
**Untuk mengkonfigurasi IPsec untuk beberapa klien menggunakan konfigurasi izinkan semua klien**
Untuk mengizinkan klien mana pun, terlepas dari alamat IP sumbernya, untuk terhubung ke alamat IPsec-enabled IP SVM, gunakan kartu `0.0.0.0/0` liar saat menentukan bidang. `remote-ip-subnets`
Selain itu, Anda harus menentukan `remote-identity` bidang dengan identitas sisi klien yang benar. Untuk otentikasi sertifikat, Anda dapat memasukkan`ANYTHING`.
Juga, ketika 0.0.0. 0/0 wild card digunakan, Anda harus mengkonfigurasi nomor port lokal atau jarak jauh tertentu untuk digunakan. Misalnya, port NFS 2049.
1. Untuk mengakses ONTAP CLI, buat sesi SSH pada port manajemen Amazon FSx untuk sistem file NetApp ONTAP atau SVM dengan menjalankan perintah berikut. Ganti `{{management_endpoint_ip}}` dengan alamat IP port manajemen sistem file.
```
[~]$ ssh fsxadmin@{{management_endpoint_ip}}
```
Untuk informasi selengkapnya, lihat [Mengelola sistem file dengan ONTAP CLI](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Gunakan perintah `security ipsec policy create` NetApp ONTAP CLI sebagai berikut, ganti {{sample}} nilai dengan nilai spesifik Anda.
```
FsxId123456::> security ipsec policy create -vserver {{svm_name}} -name {{policy_name}} \
-local-ip-subnets {{192.168.134.34/32}} -remote-ip-subnets 0.0.0.0/0 \
-local-ports {{2049}} -protocols {{tcp}} -auth-method PSK \
-cert-name {{my_nfs_server_cert}} -local-identity {{ontap_side_identity}} \
-local-ports {{2049}} -remote-identity {{client_side_identity}}
```