キー管理サーバでの認証にCA署名証明書を使用する
変更を提案
PDF
キー管理サーバとストレージアレイコントローラの間のセキュアな通信を実現するには、適切な証明書セットを設定する必要があります。
Security Adminの権限を含むユーザプロファイルでログインする必要があります。そうしないと、証明書機能は表示されません。
コントローラとキー管理サーバ間の認証は、2つの手順で行います。
手順1:キー管理サーバを使用した認証用にCSRを作成および送信します
最初に証明書署名要求(CSR)ファイルを生成し、そのCSRを使用して、キー管理サーバが信頼する認証局(CA)から署名済みのクライアント証明書を要求する必要があります。ダウンロードしたCSRファイルを使用して、キー管理サーバからクライアント証明書を作成してダウンロードすることもできます。クライアント証明書はストレージアレイのコントローラを検証し、キー管理サーバがKey Management Interoperability Protocol(KMIP)要求を信頼できるようにします。
-
メニューから[設定][証明書]を選択します。
-
[キー管理]タブで、[Complete CSR]を選択します。
-
次の情報を入力します。
-
共通名--証明書ファイルに表示されるストレージアレイ名など、このCSRを識別する名前。
-
組織--会社または組織の正式名称。Inc.やCorp.などのサフィックスを含めます。
-
組織単位(オプション)--証明書を処理している組織の部門。
-
市区町村--組織の所在地である市区町村。
-
都道府県(オプション)--組織の所在地である都道府県。
-
国のISOコード--組織の所在地である米国などの2桁のISO(国際標準化機構)コード。
-
-
[ * ダウンロード ] をクリックします。
CSRファイルがローカルシステムに保存されます。
-
キー管理サーバによって信頼されているCAから署名済みクライアント証明書を要求します。
-
クライアント証明書がある場合は、に進みます[手順2:キー管理サーバの証明書をインポートする]。
手順2:キー管理サーバの証明書をインポートする
次の手順では、ストレージアレイとキー管理サーバの間の認証用の証明書をインポートします。証明書には2種類あります。クライアント証明書はストレージアレイのコントローラを検証し、キー管理サーバ証明書はサーバを検証します。コントローラのクライアント証明書ファイルとキー管理サーバのサーバ証明書ファイルの両方をロードする必要があります。
-
署名済みのクライアント証明書ファイル(を参照手順1:キー管理サーバを使用した認証用にCSRを作成および送信します)を用意し、そのファイルをSystem Managerにアクセスするホストにコピーしておきます。クライアント証明書はストレージアレイのコントローラを検証し、キー管理サーバがKey Management Interoperability Protocol(KMIP)要求を信頼できるようにします。
-
キー管理サーバから証明書ファイルを取得し、そのファイルをSystem Managerにアクセスするホストにコピーする必要があります。キー管理サーバ証明書は、ストレージアレイがサーバのIPアドレスを信頼できるように、キー管理サーバを検証します。キー管理サーバには、ルート証明書、中間証明書、またはサーバ証明書を使用できます。
サーバ証明書の詳細については、キー管理サーバのドキュメントを参照してください。
-
メニューから[設定][証明書]を選択します。
-
[キー管理]タブで、[インポート]を選択します。
証明書ファイルをインポートするためのダイアログボックスが開きます。
-
Select client certificate の横にある Browse *ボタンをクリックして、ストレージアレイのコントローラ用のクライアント証明書ファイルを選択します。
ダイアログボックスにファイル名が表示されます。
-
キー管理サーバのサーバ証明書の選択*の横にある*参照*ボタンをクリックして、キー管理サーバのサーバ証明書ファイルを選択します。キー管理サーバのルート証明書、中間証明書、またはサーバ証明書を選択できます。
ダイアログボックスにファイル名が表示されます。
-
[* インポート * ] をクリックします。
ファイルがアップロードされて検証されます。