Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione di IPSec utilizzando l'autenticazione dei certificati
I seguenti argomenti forniscono istruzioni per configurare la crittografia IPSec utilizzando l'autenticazione dei certificati su un file system FSx for ONTAP e un client che esegue Libreswan IPSec. Questa soluzione utilizza AWS Certificate Manager e AWS Autorità di certificazione privata per creare un'autorità di certificazione privata e per generare i certificati.
I passaggi di alto livello per configurare la crittografia IPSec utilizzando l'autenticazione dei certificati sui file system FSx for ONTAP e sui client connessi sono i seguenti:
1. Disponete di un'autorità di certificazione per il rilascio dei certificati.
1. Genera ed esporta certificati CA per il file system e il client.
1. Installa il certificato e configura IPSec sull'istanza del client.
1. Installa il certificato e configura IPSec sul tuo file system.
1. Definire il database delle politiche di sicurezza (SPD).
1. Configurare IPSec per l'accesso a più client.
## Creazione e installazione di certificati CA
Per l'autenticazione dei certificati, è necessario generare e installare certificati da un'autorità di certificazione sul file system FSx for ONTAP e sui client che accederanno ai dati sul file system. L'esempio seguente utilizza AWS Autorità di certificazione privata la configurazione di un'autorità di certificazione privata e la generazione dei certificati da installare sul file system e sul client. Utilizzando AWS Autorità di certificazione privata, è possibile creare una gerarchia interamente AWS ospitata di autorità di certificazione (CA) principali e subordinate per uso interno da parte dell'organizzazione. Questo processo prevede cinque fasi:
1. Crea un'autorità di certificazione (CA) privata utilizzando AWS Private CA
1. Emetti e installa il certificato principale sulla CA privata
1. Richiedi un certificato privato AWS Certificate Manager per il tuo file system e i tuoi client
1. Esporta il certificato per il file system e i client.
Per ulteriori informazioni, consulta la sezione [Amministrazione privata della CA](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html) nella Guida AWS Autorità di certificazione privata per l'utente.
**Per creare la CA privata principale**
1. Quando si crea una CA, è necessario specificare la configurazione della CA in un file fornito dall'utente. Il comando seguente utilizza l'editor di testo Nano per creare il `ca_config.txt` file, che specifica le seguenti informazioni:
+ Il nome dell'algoritmo
+ L'algoritmo di firma utilizzato dalla CA per firmare
+ X.500 informazioni sull'argomento
```
$ > nano ca_config.txt
```
Viene visualizzato l'editor di testo.
1. Modifica il file con le specifiche della tua CA.
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"*.ec2.internal"
}
}
```
1. Salvate e chiudete il file, uscendo dall'editor di testo. Per ulteriori informazioni, vedere [Procedura per la creazione di una CA](https://docs.aws.amazon.com/privateca/latest/userguide/Create-CA-CLI.html) nella Guida per l' AWS Autorità di certificazione privata utente.
1. Utilizza il comando AWS Private CA CLI [create-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority.html) per creare una CA privata.
```
~/home > aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 --region {{aws-region}}
```
In caso di successo, questo comando genera l'Amazon Resource Name (ARN) della CA.
```
{
"CertificateAuthorityArn": "arn:aws:acm-pca:{{aws-region}}:111122223333:certificate-authority/{{12345678-1234-1234-1234-123456789012}}"
}
```
**Per creare e installare un certificato per la tua CA root privata ()AWS CLI**
1. Genera una richiesta di firma del certificato (CSR) utilizzando il comando [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html) AWS CLI.
```
$ aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn arn:aws:acm-pca:{{aws-region}}:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--output text \
--endpoint https://acm-pca.{{aws-region}}.amazonaws.com \
--region eu-west-1 > ca.csr
```
Il file risultante`ca.csr`, un file PEM codificato in formato base64, ha il seguente aspetto.
```
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
```
Per ulteriori informazioni, vedere [Installazione di un certificato CA root](https://docs.aws.amazon.com/privateca/latest/userguide/PCACertInstall.html#InstallRoot) nella Guida per l'utente. AWS Autorità di certificazione privata
1. Usa il [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) AWS CLI comando per emettere e installare il certificato root sulla tua CA privata.
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn arn:aws:acm-pca:{{aws-region}}:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--csr file://ca.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
--validity Value=3650,Type=DAYS --region {{aws-region}}
```
1. Scarica il certificato principale utilizzando il [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) AWS CLI comando.
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:{{aws-region}}:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:{{aws-region}}:486768734100:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/abcdef0123456789abcdef0123456789 \
--output text --region {{aws-region}} > rootCA.pem
```
1. Installa il certificato root sulla tua CA privata utilizzando il [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html) AWS CLI comando.
```
$ aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:{{aws-region}}:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate file://rootCA.pem --region {{aws-region}}
```
**Genera ed esporta il file system e il certificato client**
1. Utilizzate il [https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) AWS CLI comando per richiedere un AWS Certificate Manager certificato da utilizzare sul file system e sui client.
```
$ aws acm request-certificate \
--domain-name *.ec2.internal \
--idempotency-token 12345 \
--region {{aws-region}} \
--certificate-authority-arn arn:aws:acm-pca:{{aws-region}}:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012
```
Se la richiesta ha esito positivo, viene restituito l'ARN del certificato emesso.
1. Per motivi di sicurezza, è necessario assegnare una passphrase per la chiave privata durante l'esportazione. Create una passphrase e memorizzatela in un file denominato `passphrase.txt`
1. Usa il [https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html) AWS CLI comando per esportare il certificato privato emesso in precedenza. Il file esportato contiene il certificato, la catena di certificati e la chiave RSA privata crittografata a 2048 bit associata alla chiave pubblica incorporata nel certificato. Per motivi di sicurezza, è necessario assegnare una passphrase per la chiave privata durante l'esportazione. L'esempio seguente riguarda un'istanza Linux EC2.
```
$ aws acm export-certificate \
--certificate-arn arn:aws:acm:{{aws-region}}:111122223333:certificate/12345678-1234-1234-1234-123456789012 \
--passphrase $(cat passphrase.txt | base64) --region {{aws-region}} > exported_cert.json
```
1. Usa i seguenti `jq` comandi per estrarre la chiave privata e il certificato dalla risposta JSON.
```
$ passphrase=$(cat passphrase.txt | base64)
cat exported_cert.json | jq -r .PrivateKey > prv.key
cat exported_cert.json | jq -r .Certificate > cert.pem
```
1. Usa il `openssl` comando seguente per decrittografare la chiave privata dalla risposta JSON. Dopo aver immesso il comando, viene richiesta la passphrase.
```
$ openssl rsa -in prv.key -passin pass:$passphrase -out decrypted.key
```
## Installazione e configurazione di Libreswan IPSec su un client Amazon Linux 2
Le seguenti sezioni forniscono istruzioni per l'installazione e la configurazione di Libreswan IPSec su un'istanza Amazon EC2 che esegue Amazon Linux 2.
**Per installare e configurare Libreswan**
1. Connect alla tua istanza EC2 tramite SSH. Per istruzioni specifiche su come eseguire questa operazione, consulta [Connect alla tua istanza Linux utilizzando un client SSH](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html#AccessingInstancesLinuxSSHClient) nella Amazon Elastic Compute Cloud User Guide for Linux Instances.
1. Esegui il seguente comando per l'installazione: `libreswan`
```
$ sudo yum install libreswan
```
1. (Facoltativo) Durante la verifica di IPSec in un passaggio successivo, queste proprietà potrebbero essere contrassegnate senza queste impostazioni. Ti consigliamo di testare prima la configurazione senza queste impostazioni. Se la connessione presenta problemi, torna a questo passaggio e apporta le seguenti modifiche.
Al termine dell'installazione, utilizzate l'editor di testo preferito per aggiungere le seguenti voci al `/etc/sysctl.conf` file.
```
net.ipv4.ip_forward=1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.lo.send_redirects = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.eth0.rp_filter = 0
```
Salvate le modifiche e uscite dall'editor di testo.
1. Applica le modifiche.
```
$ sudo sysctl -p
```
1. Verificare la configurazione IPSec.
```
$ sudo ipsec verify
```
Verifica che la versione installata `Libreswan` sia in esecuzione.
1. Inizializza il database IPSec NSS.
```
$ sudo ipsec checknss
```
**Per installare il certificato sul client**
1. Copia il [certificato che hai generato](#generate-certificate) per il client nella directory di lavoro sull'istanza EC2. Utente corrente
1. Esporta il certificato generato in precedenza in un formato compatibile con`libreswan`.
```
$ openssl pkcs12 -export -in cert.pem -inkey decrypted.key \
-certfile rootCA.pem -out certkey.p12 -name fsx
```
1. Importa la chiave riformattata, fornendo la passphrase quando richiesta.
```
$ sudo ipsec import certkey.p12
```
1. Crea un file di configurazione IPSec utilizzando l'editor di testo preferito.
```
$ sudo cat /etc/ipsec.d/nfs.conf
```
Aggiungere le seguenti voci al file di configurazione:
```
conn fsxn
authby=rsasig
left=172.31.77.6
right=198.19.254.13
auto=start
type=transport
ikev2=insist
keyexchange=ike
ike=aes256-sha2_384;dh20
esp=aes_gcm_c256
leftcert=fsx
leftrsasigkey=%cert
leftid=%fromcert
rightid=%fromcert
rightrsasigkey=%cert
```
Avvierai IPSec sul client dopo aver configurato IPSec sul tuo file system.
## Configurazione di IPSec sul file system
Questa sezione fornisce istruzioni sull'installazione del certificato sul file system FSx for ONTAP e sulla configurazione di IPSec.
**Per installare il certificato sul file system**
1. Copia i file del certificato principale ()`rootCA.pem)`, del certificato client (`cert.pem`) e della chiave decrittografata (`decrypted.key`) nel file system. Dovrai conoscere la passphrase del certificato.
1. Per accedere alla ONTAP CLI, stabilisci una sessione SSH sulla porta di gestione del file system Amazon FSx for NetApp ONTAP o SVM eseguendo il comando seguente. Sostituisci `{{management_endpoint_ip}}` con l'indirizzo IP della porta di gestione del file system.
```
[~]$ ssh fsxadmin@{{management_endpoint_ip}}
```
Per ulteriori informazioni, consulta [Gestione dei file system con la ONTAP CLI](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Utilizzatelo **cat** su un client (non sul file system in uso) per elencare il contenuto dei `decrypted.key` file `cert.pem` e`rootCA.pem`, in modo da copiare l'output di ogni file e incollarlo quando richiesto nei passaggi seguenti.
```
$ > cat cert.pem
```
Copia il contenuto del certificato.
1. È necessario installare tutti i certificati CA utilizzati durante l'autenticazione reciproca, inclusi entrambi i certificati CA ONTAP-side e quelli lato client, nella gestione dei ONTAP certificati, a meno che non siano già installati (come nel caso di una ROOT-CA autofirmata ONTAP).
Utilizzate il comando `security certificate install` NetApp CLI come segue per installare il certificato client:
```
FSxID123:: > security certificate install -vserver {{dr}} -type client -cert-name ipsec-client-cert
```
```
Please enter Certificate: Press when done
```
Incolla il contenuto del `cert.pem` file che hai copiato in precedenza e premi Invio.
```
Please enter Private Key: Press when done
```
Incolla il contenuto del `decrypted.key` file e premi invio.
```
Do you want to continue entering root and/or intermediate certificates {y|n}:
```
Invio `n` per completare l'immissione del certificato client.
1. Crea e installa un certificato da utilizzare da parte della SVM. La CA emittente di questo certificato deve essere già installata ONTAP e aggiunta a IPSec.
Utilizzare il comando seguente per installare il certificato principale.
```
FSxID123:: > security certificate install -vserver {{dr}} -type server-ca -cert-name ipsec-ca-cert
```
```
Please enter Certificate: Press when done
```
Incolla il contenuto del `rootCA.pem` file e premi invio.
1. Per garantire che la CA installata rientri nel percorso di ricerca CA IPSec durante l'autenticazione, aggiungi le CA di gestione dei ONTAP certificati al modulo IPSec utilizzando il comando «security ipsec ca-certificate add».
Immettere il comando seguente per aggiungere il certificato root.
```
FSxID123:: > security ipsec ca-certificate add -vserver {{dr}} -ca-certs ipsec-ca-cert
```
1. Immettere il comando seguente per creare la politica IPSec richiesta nel database delle politiche di sicurezza (SPD).
```
security ipsec policy create -vserver {{dr}} -name {{policy-name}} -local-ip-subnets {{198.19.254.13/32}} -remote-ip-subnets {{172.31.0.0/16}} -auth-method PKI -action ESP_TRA -cipher-suite SUITEB_GCM256 -cert-name ipsec-client-cert -local-identity "CN=*.ec2.internal" -remote-identity "CN=*.ec2.internal"
```
1. Utilizzare il comando seguente per mostrare la politica IPSec per la conferma del file system.
```
FSxID123:: > security ipsec policy show -vserver {{dr}} -instance
Vserver: dr
Policy Name: promise
Local IP Subnets: 198.19.254.13/32
Remote IP Subnets: 172.31.0.0/16
Local Ports: 0-0
Remote Ports: 0-0
Protocols: any
Action: ESP_TRA
Cipher Suite: SUITEB_GCM256
IKE Security Association Lifetime: 86400
IPsec Security Association Lifetime: 28800
IPsec Security Association Lifetime (bytes): 0
Is Policy Enabled: true
Local Identity: CN=*.ec2.internal
Remote Identity: CN=*.ec2.internal
Authentication Method: PKI
Certificate for Local Identity: ipsec-client-cert
```
## Avviare IPSec sul client
Ora IPSec è configurato sia sul file system FSx for ONTAP che sul client, è possibile avviare IPSec sul client.
1. Connect al sistema client tramite SSH.
1. Avvia IPSec.
```
$ sudo ipsec start
```
1. Controlla lo stato di IPSec.
```
$ sudo ipsec status
```
1. Monta un volume sul tuo file system.
```
$ sudo mount -t nfs {{198.19.254.13:/benchmark}} {{/home/ec2-user/acm/dr}}
```
1. Verificate la configurazione IPSec mostrando la connessione crittografata sul file system FSx for ONTAP.
```
FSxID123:: > security ipsec show-ikesa -node FsxId{{123}}
FsxId08ac16c7ec2781a58::> security ipsec show-ikesa -node FsxId08ac16c7ec2781a58-01
Policy Local Remote
Vserver Name Address Address Initator-SPI State
----------- ------ --------------- --------------- ---------------- -----------
dr {{policy-name}}
198.19.254.13 172.31.77.6 551c55de57fe8976 ESTABLISHED
fsx {{policy-name}}
198.19.254.38 172.31.65.193 4fd3f22c993e60c5 ESTABLISHED
2 entries were displayed.
```
## Configurazione di IPSec per più client
Quando un numero limitato di client deve sfruttare IPSec, è sufficiente utilizzare una singola voce SPD per ogni client. Tuttavia, quando centinaia o addirittura migliaia di client devono sfruttare IPSec, si consiglia di utilizzare la configurazione IPSec con più client.
FSx for ONTAP supporta la connessione di più client su più reti a un singolo indirizzo IP SVM con IPSec abilitato. È possibile eseguire questa operazione utilizzando la `subnet` configurazione o la `Allow all clients` configurazione, illustrate nelle seguenti procedure:
**Per configurare IPSec per più client utilizzando una configurazione di sottorete**
Per consentire a tutti i client di accedere a una particolare sottorete (192.168.134). 0/24 ad esempio) per connettersi a un singolo indirizzo IP SVM utilizzando una singola voce di policy SPD, è necessario specificarla sotto forma di sottorete. `remote-ip-subnets` Inoltre, è necessario specificare il `remote-identity` campo con l'identità lato client corretta.
**Importante**
Quando si utilizza l'autenticazione tramite certificato, ogni client può utilizzare il proprio certificato univoco o un certificato condiviso per l'autenticazione. FSx for ONTAP IPsec verifica la validità del certificato in base alle CA installate nel suo trust store locale. FSx for ONTAP supporta anche il controllo della lista di revoca dei certificati (CRL).
1. Per accedere alla ONTAP CLI, stabilisci una sessione SSH sulla porta di gestione del file system Amazon FSx for NetApp ONTAP o SVM eseguendo il comando seguente. Sostituisci `{{management_endpoint_ip}}` con l'indirizzo IP della porta di gestione del file system.
```
[~]$ ssh fsxadmin@{{management_endpoint_ip}}
```
Per ulteriori informazioni, consulta [Gestione dei file system con la ONTAP CLI](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Utilizzate il comando `security ipsec policy create` NetApp ONTAP CLI come segue, sostituendo {{sample}} i valori con i vostri valori specifici.
```
FsxId123456::> security ipsec policy create -vserver {{svm_name}} -name {{policy_name}} \
-local-ip-subnets {{192.168.134.34/32}} -remote-ip-subnets {{192.168.134.0/24}} \
-local-ports {{2049}} -protocols {{tcp}} -auth-method PSK \
-cert-name {{my_nfs_server_cert}} -local-identity {{ontap_side_identity}} \
-remote-identity {{client_side_identity}}
```
**Per configurare IPSec per più client utilizzando una configurazione che consente l'accesso a tutti i client**
Per consentire a qualsiasi client, indipendentemente dall'indirizzo IP di origine, di connettersi all'indirizzo IPsec-enabled IP SVM, utilizzate la `0.0.0.0/0` wild card quando specificate il campo. `remote-ip-subnets`
Inoltre, è necessario specificare il `remote-identity` campo con l'identità lato client corretta. Per l'autenticazione del certificato, puoi inserire`ANYTHING`.
Inoltre, quando la versione 0.0.0. 0/0 Se si utilizza una wild card, è necessario configurare uno specifico numero di porta locale o remota da utilizzare. Ad esempio, la porta NFS 2049.
1. Per accedere alla ONTAP CLI, stabilisci una sessione SSH sulla porta di gestione del file system Amazon FSx for NetApp ONTAP o SVM eseguendo il comando seguente. Sostituisci `{{management_endpoint_ip}}` con l'indirizzo IP della porta di gestione del file system.
```
[~]$ ssh fsxadmin@{{management_endpoint_ip}}
```
Per ulteriori informazioni, consulta [Gestione dei file system con la ONTAP CLI](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Utilizzate il comando `security ipsec policy create` NetApp ONTAP CLI come segue, sostituendo {{sample}} i valori con i vostri valori specifici.
```
FsxId123456::> security ipsec policy create -vserver {{svm_name}} -name {{policy_name}} \
-local-ip-subnets {{192.168.134.34/32}} -remote-ip-subnets 0.0.0.0/0 \
-local-ports {{2049}} -protocols {{tcp}} -auth-method PSK \
-cert-name {{my_nfs_server_cert}} -local-identity {{ontap_side_identity}} \
-local-ports {{2049}} -remote-identity {{client_side_identity}}
```