Skip to main content
本製品の最新リリースがご利用いただけます。
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

双方向SSL通信を設定します

共同作成者
PDF

SnapCenterサーバとプラグイン間の相互通信を保護するために、双方向SSL通信を設定する必要があります。

  • 始める前に *

  • サポートされるキーの最小長が3072のCA証明書CSRファイルを生成しておく必要があります。

  • CA証明書でサーバ認証とクライアント認証がサポートされている必要があります。

  • 秘密鍵とサムプリントの詳細が記載されたCA証明書が必要です。

  • 一方向SSL設定を有効にしておく必要があります。

    詳細については、を参照してください "CA証明書の設定セクション"

  • すべてのプラグインホストとSnapCenterサーバで双方向SSL通信を有効にしておく必要があります。

    一部のホストまたはサーバで双方向SSL通信が有効になっていない環境はサポートされません。

  • 手順 *

    1. ポートをバインドするには、PowerShellコマンドを使用して、SnapCenter IIS Webサーバポート8146(デフォルト)およびSMCoreポート8145(デフォルト)のSnapCenterサーバホストで次の手順を実行します。

      1. 次のPowerShellコマンドを使用して、既存のSnapCenter自己署名証明書のポートバインドを削除します。

        > netsh http delete sslcert ipport=0.0.0.0:<SMCore port/IIS port>

        例:

        > netsh http delete sslcert ipport=0.0.0.0:8145

        > netsh http delete sslcert ipport=0.0.0.0:8146

      2. 新しく取得したCA証明書をSnapCenterサーバとSMCoreポートにバインドします。

        > $cert = “<CA_certificate thumbprint>”

        > $guid = [guid]::NewGuid().ToString("B")

        > netsh http add sslcert ipport=0.0.0.0: <SMCore Port/IIS port> certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

        > netsh http show sslcert ipport=0.0.0.0:<SMCore Port/IIS port>

        例:

        > $cert = “abc123abc123abc123abc123”

        > $guid = [guid]::NewGuid().ToString("B")

        > netsh http add sslcert ipport=0.0.0.0:8146 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

        > $guid = [guid]::NewGuid().ToString("B")

        > netsh http add sslcert ipport=0.0.0.0:8145 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

        > netsh http show sslcert ipport=0.0.0.0:8146

      > netsh http show sslcert ipport=0.0.0.0:8145

    2. CA証明書の権限にアクセスするには、次の手順を実行して新しく取得したCA証明書にアクセスし、SnapCenterのデフォルトのIIS Webサーバユーザ「* IIS AppPool\SnapCenter *」を証明書の権限のリストに追加します。

      1. Microsoft管理コンソール(MMC)に移動し、[ファイル]>*[SnapInの追加と削除]*をクリックします。

      2. [ スナップインの追加と削除 ] ウィンドウで、 [Certificates] を選択し、 [Add] をクリックします。

      3. [ 証明書 ] スナップインウィンドウで、 [Computer account] オプションを選択し、 [ 完了 *] をクリックします。

      4. コンソールルート]>[証明書–ローカルコンピューター]>[個人]>[証明書]の順にクリックします。

      5. SnapCenter証明書を選択します。

      6. ユーザー/権限の追加ウィザードを開始するには、CA証明書を右クリックし、[すべてのタスク]>*[秘密鍵の管理]*を選択します。

      7. [追加]*をクリックし、[ユーザーとグループの選択]ウィザードで場所をローカルコンピュータ名(階層の最上位)に変更します。

      8. IIS AppPool\SnapCenterユーザを追加し、フルコントロール権限を付与します。

    3. CA証明書IIS権限*の場合、次のパスからSnapCenterサーバーに新しいDWORDレジストリキーエントリを追加します。

      Windowsレジストリエディタで、次のパスに移動します。

      HKey_Local_Machine\SYSTEM\CurrentControlSet\Control\SecurityProv ders\SCHANNEL

    4. SCHANNELレジストリ設定のコンテキストで、新しいDWORDレジストリキーエントリを作成します。

      SendTrustedIssuerList = 0

    ClientAuthTrustMode = 2

双方向SSL通信用のSnapCenter Windowsプラグインを設定します

SnapCenter Windowsプラグインは、PowerShellコマンドを使用して双方向SSL通信用に設定する必要があります。

  • 始める前に *

CA証明書サムプリントが使用可能であることを確認します。

  • 手順 *

    1. ポートをバインドするには、WindowsプラグインホストでSMCoreポート8145(デフォルト)に対して次の操作を実行します。

      1. 次のPowerShellコマンドを使用して、既存のSnapCenter自己署名証明書のポートバインドを削除します。

        > netsh http delete sslcert ipport=0.0.0.0:<SMCore port>

        例:

        > netsh http delete sslcert ipport=0.0.0.0:8145

      2. 新しく取得したCA証明書をSMCoreポートにバインドします。

        > $cert = “<CA_certificate thumbprint>”

        > $guid = [guid]::NewGuid().ToString("B")

        > netsh http add sslcert ipport=0.0.0.0: <SMCore Port> certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

        > netsh http show sslcert ipport=0.0.0.0:<SMCore Port>

        例:

        > $cert = “abc123abc123abc123abc123”

        > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0:8145 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

    > netsh http show sslcert ipport=0.0.0.0:8145