Skip to main content
11.9
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SANtricity System Managerでコントローラに CA署名付き証明書を使用する

PDF

コントローラーとSANtricity System Managerへのアクセスに使用するブラウザ間の安全な通信のために、CA署名付き証明書を取得できます。

開始する前に

  • Security Adminの権限を含むユーザ プロファイルでログインする必要があります。そうしないと、証明書関連の機能は表示されません。

  • 各コントローラのIPアドレスまたはDNS名を把握しておく必要があります。

タスク概要

CA署名証明書を使用するには、次の3つの手順を実行します。

ステップ1:コントローラのCSRを完了する

最初にストレージ アレイの各コントローラの証明書署名要求(CSR)ファイルを生成する必要があります。

タスク概要

このタスクでは、System ManagerでCSRファイルを生成する方法について説明します。CSRは、組織に関する情報と、コントローラのIPアドレスまたはDNS名を提供します。このタスクでは、ストレージ アレイにコントローラが1つある場合はCSRファイルが1つ、コントローラが2つある場合は2つ生成されます。

メモ

または、OpenSSLなどのツールを使用してCSRファイルを生成し、手順2:CSRファイルを送信するにスキップできます。
手順

  1. メニュー:Settings[Certificates]を選択します。

  2. 「アレイ管理」タブから*CSRを完了する*を選択します。

    メモ

    2番目のコントローラーの自己署名証明書を受け入れるよう求めるダイアログボックスが表示された場合は、*Accept Self-Signed Certificate*をクリックして続行してください。

  3. 以下の情報を入力し、*次へ*をクリックします。

    • 組織名 — 貴社または貴団体の正式な法的名称。Inc. や Corp. などの接尾辞を含めます。

    • 組織単位(任意) — 証明書を取り扱う組織内の部門。

    • 都市/地域 — ストレージアレイまたは事業所が所在する都市。

    • 都道府県/地域(任意) — ストレージアレイまたは事業所が所在する都道府県または地域。

    • 国のISOコード — USなど、あなたの国の2桁のISO(International Organization for Standardization)コード。

    注意

    一部のフィールドには、コントローラーのIPアドレスなど、適切な情報があらかじめ入力されている場合があります。入力済みの値は、それが明らかに間違っていると確信できる場合を除き、変更しないでください。例えば、CSRをまだ完了していない場合、コントローラーのIPアドレスは「localhost.」に設定されています。この場合、「localhost」をコントローラーのDNS名またはIPアドレスに変更する必要があります。

  4. ストレージアレイ内のコントローラAに関する以下の情報を確認または入力してください:

    • コントローラAの共通名 — デフォルトでは、コントローラAのIPアドレスまたはDNS名が表示されます。このアドレスが正しいことを確認してください。ブラウザでSystem Managerにアクセスする際に入力するアドレスと完全に一致している必要があります。DNS名はワイルドカードで始めることはできません。

    • コントローラAの代替IPアドレス — 共通名がIPアドレスの場合、コントローラAの追加のIPアドレスまたはエイリアスを任意で入力できます。複数のエントリを入力する場合は、カンマ区切り形式を使用してください。

    • コントローラAの代替DNS名 — 共通名がDNS名である場合、コントローラAの追加のDNS名を入力してください。複数のエントリを入力する場合は、カンマ区切り形式を使用してください。代替DNS名がない場合でも、最初のフィールドにDNS名を入力した場合は、その名前をここにコピーしてください。DNS名はワイルドカードで始めることはできません。ストレージアレイにコントローラが1つしかない場合は、*完了*ボタンが使用可能です。

      ストレージアレイにコントローラが2つある場合、*Next*ボタンが使用可能になります。

    メモ

    CSRリクエストを最初に作成する際は、*この手順をスキップ*リンクをクリックしないでください。このリンクは、エラー回復時に提供されます。まれに、CSRリクエストが一方のコントローラでは失敗するが、もう一方のコントローラでは失敗しない場合があります。このリンクを使用すると、コントローラAでCSRリクエストが既に定義されている場合、その作成手順をスキップして、コントローラBでCSRリクエストを再作成する次のステップに進むことができます。

  5. コントローラが1つしかない場合は、*完了*をクリックします。コントローラが2つある場合は、*次へ*をクリックしてコントローラBの情報を入力し(上記と同じ)、*完了*をクリックします。

    シングル コントローラの場合は、1つのCSRファイルがローカル システムにダウンロードされます。デュアル コントローラの場合は、2つのCSRファイルがダウンロードされます。ダウンロード フォルダの場所は、ブラウザによって異なります。

  6. 手順2:CSRファイルを送信するへ移動。

手順2:CSRファイルを送信する

証明書署名要求(CSR)ファイルを作成したら、ファイルを認証局(CA)に送信します。Eシリーズ システムには、PEM形式(Base64 ASCIIエンコード)の署名済み証明書が必要です。該当するファイル形式はpem、.crt、.cer、または.keyです。

手順

  1. ダウンロードしたCSRファイルの場所を確認します。

  2. CSRファイルをCA(VerisignやDigiCertなど)に送信し、PEM形式の署名済み証明書を要求します。

    注意

    *CSRファイルをCAに送信した後は、別のCSRファイルを再生成しないでください。*CSRを生成するたびに、システムは秘密鍵と公開鍵のペアを作成します。公開鍵はCSRの一部であり、秘密鍵はシステムのキーストアに保存されます。署名済み証明書を受け取ってインポートすると、システムは秘密鍵と公開鍵の両方が元のペアであることを確認します。鍵が一致しない場合、署名済み証明書は機能しないため、CAに新しい証明書を要求する必要があります。

  3. CAが署名済み証明書を返送したら、[手順3:コントローラ用の署名済み証明書をインポートする]に移動します。

手順3:コントローラ用の署名済み証明書をインポートする

認証局(CA)から署名済み証明書を受け取ったら、コントローラのファイルをインポートします。

開始する前に

  • 署名済み証明書ファイルをCAから受け取っておきます。ファイルには、ルート証明書、1つ以上の中間証明書、およびサーバ証明書が含まれています。

  • CAがチェーン証明書ファイル(.p7bファイルなど)を提供した場合は、チェーンファイルを個々のファイルに展開する必要があります。ルート証明書、1つ以上の中間証明書、およびコントローラを識別するサーバ証明書です。Windows `certmgr`ユーティリティを使用してファイルを展開できます(右クリックしてメニュー:すべてのタスク[エクスポート]を選択)。Base-64エンコーディングを推奨します。エクスポートが完了すると、チェーン内の各証明書ファイルのCERファイルが表示されます。

  • System Managerにアクセスするホスト システムに、証明書ファイルをコピーしておきます。

手順

  1. メニュー:設定[証明書]を選択します

  2. Array Managementタブから*Import*を選択します。

    証明書ファイルをインポートするためのダイアログ ボックスが表示されます。

  3. *参照*ボタンをクリックして、まずルート証明書ファイルと中間証明書ファイルを選択し、次にコントローラー用の各サーバー証明書を選択します。ルート証明書ファイルと中間証明書ファイルは、両方のコントローラーで同じです。サーバー証明書のみが、各コントローラーごとに固有です。外部ツールからCSRを生成した場合は、CSRとともに作成された秘密鍵ファイルもインポートする必要があります。

    ファイル名がダイアログ ボックスに表示されます。

  4. *インポート*をクリックします。

    ファイルがアップロードされて検証されます。

結果

セッションは自動的に終了します。証明書を有効にするには、ログインし直す必要があります。再度ログインすると、新しいCA署名済み証明書がセッションに使用されます。