Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

キー管理サーバでの認証にCA署名証明書を使用する

共同作成者
PDF

キー管理サーバとストレージアレイコントローラの間のセキュアな通信を確立するためには、適切な証明書セットを設定する必要があります。

作業を開始する前に

Security Adminの権限を含むユーザプロファイルでログインする必要があります。そうしないと、証明書の機能は表示されません。

このタスクについて

コントローラとキー管理サーバ間の認証は、2段階の手順 です。

手順1:キー管理サーバを使用した認証用にCSRを作成および送信します

最初に証明書署名要求(CSR)ファイルを生成し、そのCSRを使用して、キー管理サーバで信頼されている認証局(CA)から署名済みのクライアント証明書を要求する必要があります。ダウンロードしたCSRファイルを使用して、キー管理サーバからクライアント証明書を作成およびダウンロードすることもできます。クライアント証明書は、キー管理サーバが自身のKey Management Interoperability Protocol(KMIP)要求を信頼できるよう、ストレージアレイのコントローラを検証します。

メモ 秘密鍵と公開鍵のペアによって外部で生成されたCSRファイルは、[外部セキュリティキーの作成]ダイアログを使用してインポートできます。外部生成されたCSRファイルのインポートの詳細については、を参照してください "手順2:キー管理サーバの証明書をインポートする"
手順

  1. メニューから[設定][証明書]を選択します。

  2. [キー管理]タブで、[Complete CSR]を選択します。

  3. 次の情報を入力します。

    • 共通名--クライアントを識別する名前。一般的には、クライアント証明書の命名規則に関するKMSサーバの要件と共通名の内容を一致させることが一般的です。一般的な名前は、ハンドシェイク中にクライアントの証明書が提示されたときに、KMSがクライアントの証明書を識別するのに役立ちます。

    • 組織--会社または組織の正式名称。Inc.やCorp.などの接尾辞も含めて入力してください

    • 組織単位(オプション)--証明書を処理している組織の部門。

    • 市区町村--組織の所在地である市区町村。

    • 都道府県(オプション)--組織の所在地である都道府県。

    • 国のISOコード--組織の所在地である米国などの2桁のISO(国際標準化機構)コード。

  4. [ * ダウンロード ] をクリックします。

    CSRファイルがローカルシステムに保存されます。

  5. キー管理サーバによって信頼されているCAから署名済みクライアント証明書を要求します。

    メモ キー管理サーバは独自のCAとして機能するため、署名済み証明書を直接生成する機能を備えているのが一般的です。

  6. クライアント証明書がある場合は、に進みます [手順2:キー管理サーバの証明書をインポートする]

手順2:キー管理サーバの証明書をインポートする

次の手順として、ストレージアレイとキー管理サーバの間の認証用に証明書をインポートします。証明書には2種類あります。クライアント証明書はストレージアレイのコントローラを検証し、キー管理サーバ証明書はサーバを検証します。コントローラのクライアント証明書ファイルとキー管理サーバのサーバ証明書ファイルの両方をロードする必要があります。

作業を開始する前に

  • 署名済みのクライアント証明書ファイルがある(を参照) 手順1:キー管理サーバを使用した認証用にCSRを作成および送信します)をクリックし、System Managerにアクセスするホストにファイルをコピーしておきます。クライアント証明書は、キー管理サーバが自身のKey Management Interoperability Protocol(KMIP)要求を信頼できるよう、ストレージアレイのコントローラを検証します。

  • キー管理サーバから証明書ファイルを取得し、そのファイルをSystem Managerにアクセスするホストにコピーする必要があります。キー管理サーバ証明書は、ストレージアレイがサーバのIPアドレスを信頼できるよう、キー管理サーバを検証します。キー管理サーバには、ルート証明書、中間証明書、またはサーバ証明書を使用できます。

    メモ

    サーバ証明書の詳細については、キー管理サーバのドキュメントを参照してください。
手順

  1. メニューから[設定][証明書]を選択します。

  2. [キー管理]タブで、[インポート]を選択します。

    証明書ファイルをインポートするためのダイアログボックスが表示されます。

  3. Select client certificate の横にある Browse *ボタンをクリックして、ストレージアレイのコントローラ用のクライアント証明書ファイルを選択します。

    ダイアログボックスにファイル名が表示されます。

  4. 秘密鍵と公開鍵のペアを使用して外部で証明書ファイルを生成した場合は、[秘密鍵ファイルの選択]*の横にある[参照]*ボタンをクリックして、ストレージアレイのコントローラの証明書ファイルを選択します。

    ダイアログボックスにファイル名が表示されます。

  5. キー管理サーバのサーバ証明書の選択*の横にある*参照*ボタンをクリックして、キー管理サーバのサーバ証明書ファイルを選択します。キー管理サーバのルート証明書、中間証明書、またはサーバ証明書を選択できます。

    ダイアログボックスにファイル名が表示されます。

  6. [* インポート * ] をクリックします。

    ファイルがアップロードされて検証されます。