Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

コントローラのCA署名証明書を使用する

共同作成者
PDF

コントローラとSystem Managerへのアクセスに使用されるブラウザとの間のセキュアな通信を確立するために、CA署名証明書を取得できます。

作業を開始する前に

  • Security Adminの権限を含むユーザプロファイルでログインする必要があります。そうしないと、証明書の機能は表示されません。

  • 各コントローラのIPアドレスまたはDNS名を確認しておく必要があります。

このタスクについて

CA署名証明書の使用は、3つの手順で構成される手順 です。

手順1:コントローラのCSRを作成します

最初に、ストレージアレイの各コントローラの証明書署名要求(CSR)ファイルを生成する必要があります。

このタスクについて

このタスクでは、System ManagerからCSRファイルを生成する方法について説明します。CSRは、組織に関する情報とコントローラのIPアドレスまたはDNS名のいずれかを提供します。このタスクでは、ストレージアレイにコントローラが1つあり、CSRファイルが2つある場合は1つのCSRファイルが生成されます。

メモ

または、OpenSSLなどのツールを使用してCSRファイルを生成し、に進むこともできます 手順2:CSRファイルを送信します
手順

  1. メニューから[設定][証明書]を選択します。

  2. [Array Management]タブで、[Complete CSR]を選択します。

    メモ

    2台目のコントローラの自己署名証明書を受け入れるよう求めるダイアログボックスが表示された場合は、*自己署名証明書を受け入れる*をクリックして続行します。

  3. 次の情報を入力し、[次へ*]をクリックします。

    • 組織--会社または組織の正式名称。Inc.やCorp.などの接尾辞も含めて入力してください

    • 組織単位(オプション)--証明書を処理している組織の部門。

    • 市区町村--ストレージアレイまたは事業の所在地である市区町村。

    • 都道府県(オプション)-ストレージアレイまたは事業の所在地である都道府県。

    • 国のISOコード--自国を表す2桁のISO(国際標準化機構)コード(USなど)。

    注意

    一部のフィールドには、コントローラのIPアドレスなどの適切な情報があらかじめ入力されています。事前入力された値は、明らかな間違いでないかぎり変更しないでください。たとえば、CSRをまだ作成していない場合、コントローラのIPアドレスは「localhost」に設定されます。 この場合は、「localhost」をコントローラのDNS名またはIPアドレスに変更する必要があります。

  4. ストレージアレイ内のコントローラAに関する次の情報を確認または入力します。

    • コントローラAの共通名--コントローラAのIPアドレスまたはDNS名がデフォルトで表示されますこのアドレスが正しいことを確認してください。ブラウザでSystem Managerにアクセスする際に入力したアドレスと正確に一致している必要があります。DNS名の先頭にワイルドカードを使用することはできません。

    • コントローラAの代替IPアドレス-共通名がIPアドレスの場合は、コントローラAの追加のIPアドレスまたはエイリアスをオプションで入力できます複数指定する場合は、カンマで区切って入力します。

    • コントローラAの代替DNS名--共通名がDNS名の場合は、コントローラAの追加のDNS名を入力します複数指定する場合は、カンマで区切って入力します。代替DNS名がない場合は、最初のフィールドに入力したDNS名をここにコピーします。DNS名の先頭にワイルドカードを使用することはできません。ストレージアレイにコントローラが1台しかない場合は、「完了」ボタンを使用できます。

      ストレージアレイにコントローラが2台ある場合は、* Next *ボタンを使用できます。

    メモ

    CSR要求を最初に作成するときは、[この手順をスキップ]リンクをクリックしないでください。このリンクは、エラーからリカバリする場合に使用します。CSR要求が一方のコントローラで失敗し、もう一方のコントローラで失敗することがあります。このリンクを使用すると、コントローラAでCSRがすでに定義されている場合はその作成をスキップし、コントローラBでCSRを再作成する次の手順に進むことができます

  5. コントローラが1台しかない場合は、[完了]をクリックします。コントローラが2台ある場合は、[次へ]をクリックしてコントローラBの情報を入力し(上記と同じ)、[完了]をクリックします。

    シングルコントローラの場合は、1つのCSRファイルがローカルシステムにダウンロードされます。デュアルコントローラの場合は、2つのCSRファイルがダウンロードされます。ダウンロードフォルダの場所は、ブラウザによって異なります。

  6. に進みます 手順2:CSRファイルを送信します

手順2:CSRファイルを送信します

証明書署名要求(CSR)ファイルを作成したら、ファイルを認証局(CA)に送信します。Eシリーズシステムには、署名済み証明書用のPEM形式(Base64 ASCIIエンコード)が必要です。これには、PEM、.crt、.cer、.keyのいずれかのファイルタイプが含まれています。

手順

  1. ダウンロードしたCSRファイルの場所を確認します。

  2. CSRファイルをCA(VerisignやDigiCertなど)に送信し、PEM形式の署名付き証明書を要求します。

    注意

    • CSRファイルをCAに送信した後、別のCSRファイルを再生成しないでください。* CSRを生成するたびに、システムは秘密鍵と公開鍵のペアを作成します。公開鍵はCSRの一部であり、秘密鍵はシステムのキーストアに保持されます。署名済み証明書を受け取ってインポートすると、秘密鍵と公開鍵の両方が元のペアになります。キーが一致しないと署名済み証明書は機能せず、CAに新しい証明書を要求する必要があります。

  3. CAから返された署名済み証明書については、を参照してください [手順3:コントローラの署名済み証明書をインポートする]

手順3:コントローラの署名済み証明書をインポートする

署名済み証明書を認証局(CA)から受け取ったあと、コントローラのファイルをインポートします。

作業を開始する前に

  • 署名済み証明書ファイルをCAから受け取っておきます。これらのファイルには、ルート証明書、1つ以上の中間証明書、およびサーバ証明書が含まれます。

  • CAからチェーン証明書ファイル(たとえば、.p7bファイル)が提供された場合は、チェーンファイルを個々のファイル(ルート証明書、1つ以上の中間証明書、コントローラを識別するサーバ証明書)に展開する必要があります。Windowsのcertmgrユーティリティーを使用して'ファイルを展開できます(右クリックしてメニューを選択しますすべてのタスク[エクスポート])base-64エンコーディングが推奨されます。エクスポートが完了すると、チェーン内の証明書ファイルごとに1つのCERファイルが表示されます。

  • 証明書ファイルをSystem Managerにアクセスするホストシステムにコピーしておきます。

手順

  1. 選択メニュー:設定[証明書]

  2. Array Management(アレイ管理)タブで、* Import(インポート)*を選択します。

    証明書ファイルをインポートするためのダイアログボックスが表示されます。

  3. 「*参照」ボタンをクリックして、最初にルート証明書と中間証明書ファイルを選択してから、コントローラの各サーバ証明書を選択します。ルートファイルと中間ファイルは両方のコントローラで同じです。サーバ証明書のみコントローラごとに一意です。外部ツールからCSRを生成した場合は、CSRと一緒に作成された秘密鍵ファイルもインポートする必要があります。

    ファイル名がダイアログボックスに表示されます。

  4. [* インポート * ] をクリックします。

    ファイルがアップロードされて検証されます。

結果

セッションは自動的に終了します。証明書を有効にするには、再度ログインする必要があります。再度ログインすると、新しいCA署名証明書がセッションに使用されます。