Skip to main content
11.9
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SANtricity System Managerでキー管理サーバーとの認証にCA署名付き証明書を使用

PDF

キー管理サーバとストレージ アレイ コントローラの間にセキュアな通信を確立するには、適切な証明書セットを設定する必要があります。

開始する前に

Security Adminの権限を含むユーザ プロファイルでログインする必要があります。そうしないと、証明書関連の機能は表示されません。

タスク概要

コントローラとキー管理サーバ間の通信は、次の2つの手順で認証されます。

ステップ1:CSRを記入し、キー管理サーバーに認証のために送信します

最初に証明書署名要求(CSR)ファイルを生成し、そのCSRを使用して、キー管理サーバが信頼する認証局(CA)に署名済みクライアント証明書を要求する必要があります。ダウンロードしたCSRファイルを使用して、キー管理サーバからクライアント証明書を作成してダウンロードすることもできます。クライアント証明書は、キー管理サーバがコントローラのKey Management Interoperability Protocol(KMIP)要求を信頼できるよう、ストレージ アレイのコントローラを検証します。

メモ 秘密鍵と公開鍵のペアを使用して外部で生成されたCSRファイルは、「外部セキュリティキーの作成」ダイアログからインポートできます。外部で生成された CSR ファイルのインポートに関する詳細については、 "ステップ2:キー管理サーバー用の証明書をインポートする"を参照してください。
手順

  1. メニュー:Settings[Certificates]を選択します。

  2. 「キー管理」タブから*Complete CSR*を選択します。

  3. 以下の情報を入力してください:

    • 共通名 — クライアントを識別する名前。共通名に含まれる内容を、KMSサーバーのクライアント証明書命名規則の要件に合わせることは一般的な慣行です。共通名は通常、ハンドシェイク中にクライアント証明書が提示された際に、KMSがクライアント証明書を識別するのに役立ちます。

    • 組織名 — 貴社または貴団体の正式な法的名称。Inc. や Corp. などの接尾辞を含めます。

    • 組織単位(任意) — 証明書を取り扱う組織内の部門。

    • City/Locality — 組織が所在する都市または地域。

    • State/Region(任意) — 組織が所在する州または地域。

    • 国別ISOコード — 組織が所在する国を表す、USなどの2桁のISO(International Organization for Standardization)コード。

  4. *ダウンロード*をクリックします。

    CSRファイルがローカル システムに保存されます。

  5. キー管理サーバが信頼するCAに署名済みクライアント証明書を要求します。

    メモ キー管理サーバは、独自のCAとして機能するために、署名済み証明書を直接生成する機能を備えているのが一般的です。

  6. クライアント証明書をお持ちの場合は、[ステップ2:キー管理サーバー用の証明書をインポートする]にアクセスします。

ステップ2:キー管理サーバー用の証明書をインポートする

次の手順として、ストレージ アレイとキー管理サーバの間の認証用の証明書をインポートします。証明書には2種類あります。クライアント証明書はストレージ アレイのコントローラを検証し、キー管理サーバ証明書はサーバを検証します。コントローラのクライアント証明書ファイルとキー管理サーバのサーバ証明書ファイルの両方をロードする必要があります。

開始する前に

  • 署名済みのクライアント証明書ファイルがあります(ステップ1:CSRを記入し、キー管理サーバーに認証のために送信しますを参照)。また、System Managerにアクセスしているホストにそのファイルをコピーしました。クライアント証明書はストレージアレイのコントローラを検証するため、キー管理サーバはKey Management Interoperability Protocol(KMIP)要求を信頼できます。

  • キー管理サーバから証明書ファイルを取得し、そのファイルをSystem Managerにアクセスするホストにコピーする必要があります。キー管理サーバ証明書は、ストレージ アレイがサーバのIPアドレスを信頼できるよう、キー管理サーバを検証します。キー管理サーバには、ルート証明書、中間証明書、またはサーバ証明書を使用できます。

    メモ

    サーバ証明書の詳細については、キー管理サーバのドキュメントを参照してください。
手順

  1. メニュー:Settings[Certificates]を選択します。

  2. キー管理タブから * インポート * を選択します。

    証明書ファイルをインポートするためのダイアログ ボックスが表示されます。

  3. *クライアント証明書の選択*の横にある*参照*ボタンをクリックして、ストレージアレイのコントローラ用のクライアント証明書ファイルを選択します。

    ダイアログ ボックスにファイル名が表示されます。

  4. 秘密鍵と公開鍵のペアを使用して外部で証明書ファイルを生成した場合は、*秘密鍵ファイルを選択*の横にある*参照*ボタンをクリックして、ストレージアレイのコントローラ用の証明書ファイルを選択してください。

    ダイアログ ボックスにファイル名が表示されます。

  5. *Select key management server's server certificate*の横にある*Browse*ボタンをクリックして、キー管理サーバーのサーバー証明書ファイルを選択します。キー管理サーバーには、ルート証明書、中間証明書、またはサーバー証明書のいずれかを選択できます。

    ダイアログ ボックスにファイル名が表示されます。

  6. *インポート*をクリックします。

    ファイルがアップロードされて検証されます。