Skip to main content
11.9
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SANtricity System Manager の CA 署名証明書と自己署名証明書に関する FAQ

この FAQ は、質問に対する簡単な回答を探している場合に役立ちます。

Cannot Access Other Controllerダイアログボックスが表示されるのはなぜですか。

CA証明書に関連する特定の処理(証明書のインポートなど)を実行すると、2台目のコントローラの自己署名証明書を受け入れるよう求めるダイアログボックスが表示されることがあります。

2台のコントローラを搭載したストレージアレイ(デュプレックス構成)では、SANtricity System Managerが2台目のコントローラと通信できない場合、または処理の特定の段階でブラウザが証明書を受け入れられない場合に、このダイアログボックスが表示されることがあります。

このダイアログボックスが表示された場合は、[自己署名証明書を承認する]をクリックして続行します。パスワードの入力を求めるダイアログボックスが表示された場合は、System Managerへのアクセスに使用する管理者パスワードを入力します。

このダイアログボックスが再び表示され、証明書のタスクを完了できない場合は、次のいずれかの手順を実行してください。

  • 別のブラウザを使用してこのコントローラにアクセスし、証明書を受け入れて続行します。

  • System Managerを使用して2台目のコントローラにアクセスし、自己署名証明書を受け入れてから、1台目のコントローラに戻って続行します。

外部キー管理用にSANtricity System Managerにアップロードする必要がある証明書を確認するにはどうすればよいですか?

外部キー管理では、ストレージアレイとキー管理サーバが互いに信頼関係を確立できるように、2つのエンティティの間の認証用に2種類の証明書をインポートします。

クライアント証明書はストレージアレイのコントローラを検証し、キー管理サーバがKey Management Interoperability Protocol(KMIP)要求を信頼できるようにします。

クライアント証明書を取得するには、System Managerを使用してストレージアレイのCSRを作成します。秘密鍵と公開鍵のペアを使用して、CSRを外部で生成することもできます。

その後、CSRをキー管理サーバにアップロードし、そこからクライアント証明書を生成できます。クライアント証明書を入手したら、System Managerにアクセスするホストにそのファイルをコピーします。

キー管理サーバ証明書は、ストレージアレイがサーバのIPアドレスを信頼できるよう、キー管理サーバを検証します。キー管理サーバからサーバ証明書ファイルを取得し、System Managerにアクセスするホストにそのファイルをコピーします。

証明書失効チェックについて、どのような点に注意する必要がありますか?

SANtricity System Managerでは、証明書失効リスト(CRL)をアップロードする代わりに、オンライン証明書ステータスプロトコル(OCSP)サーバを使用して失効した証明書をチェックできます。

失効した証明書は信頼しないようにしてください。証明書が失効する理由はいくつかあります。たとえば、認証局(CA)から証明書が適切に発行されていない、秘密鍵が不正に使用された、特定されたエンティティがポリシーの要件を満たしていない、などの場合です。

System ManagerでOCSPサーバへの接続を確立すると、ストレージアレイは、AutoSupport サーバ、外部キー管理サーバ(EKMS)、Lightweight Directory Access Protocol over SSL(LDAPS)サーバ、またはsyslogサーバに接続するたびに失効チェックを実行します。ストレージアレイは、これらのサーバの証明書の検証を試行して、証明書が失効していないことを確認します。その証明書について、サーバから「good」、「revoked」「unknown」のいずれかの値が返されます。証明書が失効している場合や、アレイがOCSPサーバにアクセスできない場合は、接続が拒否されます。

メモ

System Managerまたはコマンドラインインターフェイス(CLI)で指定したOCSPレスポンダアドレスは、証明書ファイル内のOCSPアドレスよりも優先されます。

失効チェックが有効になるのはどのタイプのサーバですか?

ストレージアレイは、AutoSupport サーバ、外部キー管理サーバ(EKMS)、Lightweight Directory Access Protocol over SSL(LDAPS)サーバ、またはsyslogサーバに接続するたびに失効チェックを実行します。