キー管理サーバでの認証にCA署名証明書を使用する
変更を提案
PDF
キー管理サーバとストレージアレイコントローラの間のセキュアな通信を確立するためには、適切な証明書セットを設定する必要があります。
Security Adminの権限を含むユーザプロファイルでログインする必要があります。そうしないと、証明書の機能は表示されません。
コントローラとキー管理サーバ間の認証は、2段階の手順 です。
手順1:キー管理サーバを使用した認証用にCSRを作成および送信します
最初に証明書署名要求(CSR)ファイルを生成し、そのCSRを使用して、キー管理サーバで信頼されている認証局(CA)から署名済みのクライアント証明書を要求する必要があります。ダウンロードしたCSRファイルを使用して、キー管理サーバからクライアント証明書を作成およびダウンロードすることもできます。クライアント証明書は、キー管理サーバが自身のKey Management Interoperability Protocol(KMIP)要求を信頼できるよう、ストレージアレイのコントローラを検証します。
-
メニューから[設定][証明書]を選択します。
-
[キー管理]タブで、[Complete CSR]を選択します。
-
次の情報を入力します。
-
共通名--証明書ファイルに表示されるストレージアレイ名など、このCSRを識別する名前。
-
組織--会社または組織の正式名称。Inc.やCorp.などの接尾辞も含めて入力してください
-
組織単位(オプション)--証明書を処理している組織の部門。
-
市区町村--組織の所在地である市区町村。
-
都道府県(オプション)--組織の所在地である都道府県。
-
国のISOコード--組織の所在地である米国などの2桁のISO(国際標準化機構)コード。
-
-
[ * ダウンロード ] をクリックします。
CSRファイルがローカルシステムに保存されます。
-
キー管理サーバで信頼されているCAから署名済みのクライアント証明書を要求します。
-
クライアント証明書がある場合は、に進みます [手順2:キー管理サーバの証明書をインポートする]。
手順2:キー管理サーバの証明書をインポートする
次の手順として、ストレージアレイとキー管理サーバの間の認証用に証明書をインポートします。証明書には2種類あります。クライアント証明書はストレージアレイのコントローラを検証し、キー管理サーバ証明書はサーバを検証します。コントローラのクライアント証明書ファイルとキー管理サーバのサーバ証明書ファイルの両方をロードする必要があります。
-
署名済みのクライアント証明書ファイルがある(を参照) 手順1:キー管理サーバを使用した認証用にCSRを作成および送信します)をクリックし、System Managerにアクセスするホストにファイルをコピーしておきます。クライアント証明書は、キー管理サーバが自身のKey Management Interoperability Protocol(KMIP)要求を信頼できるよう、ストレージアレイのコントローラを検証します。
-
キー管理サーバから証明書ファイルを取得し、そのファイルをSystem Managerにアクセスするホストにコピーする必要があります。キー管理サーバ証明書は、ストレージアレイがサーバのIPアドレスを信頼できるよう、キー管理サーバを検証します。キー管理サーバには、ルート証明書、中間証明書、またはサーバ証明書を使用できます。
サーバ証明書の詳細については、キー管理サーバのドキュメントを参照してください。
-
メニューから[設定][証明書]を選択します。
-
[キー管理]タブで、[インポート]を選択します。
証明書ファイルをインポートするためのダイアログボックスが表示されます。
-
Select client certificate の横にある Browse *ボタンをクリックして、ストレージアレイのコントローラ用のクライアント証明書ファイルを選択します。
ダイアログボックスにファイル名が表示されます。
-
キー管理サーバのサーバ証明書の選択*の横にある*参照*ボタンをクリックして、キー管理サーバのサーバ証明書ファイルを選択します。キー管理サーバのルート証明書、中間証明書、またはサーバ証明書を選択できます。
ダイアログボックスにファイル名が表示されます。
-
[* インポート * ] をクリックします。
ファイルがアップロードされて検証されます。