Skip to main content
SnapCenter software
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

証明書ベースの認証を構成する

証明書ベースの認証は、 SnapCenterサーバーとプラグイン ホストの両方の ID を検証することでセキュリティを強化し、安全で暗号化された通信を保証します。

証明書ベースの認証の有効化

SnapCenter ServerおよびWindowsプラグイン ホストの証明書ベースの認証を有効にするには、次のPowerShellコマンドレットを実行します。Linuxプラグイン ホストで双方向SSLを有効にすると、証明書ベースの認証が有効になります。

  • クライアント証明書ベースの認証を有効にする:

    Set-SmConfigSettings -Agent –configSettings @{"EnableClientCertificateAuthentication"="true"} -HostName[hostname]

  • クライアント証明書ベースの認証を無効にする:

    Set-SmConfigSettings -Agent –configSettings @{"EnableClientCertificateAuthentication"="false"} -HostName [hostname]`

SnapCenter Serverからの認証局(CA)証明書のエクスポート

Microsoft管理コンソール(MMC)を使用して、SnapCenter Serverからプラグイン ホストにCA証明書をエクスポートする必要があります。

開始する前に

双方向SSLを設定しておく必要があります。

手順

  1. Microsoft 管理コンソール (MMC) に移動し、[ファイル] > [スナップインの追加と削除] をクリックします。

  2. [スナップインの追加と削除] ウィンドウで、[証明書] を選択し、[追加] をクリックします。

  3. 証明書スナップイン ウィンドウで、コンピューター アカウント オプションを選択し、完了 をクリックします。

  4. コンソール ルート > 証明書 - ローカル コンピューター > 個人 > 証明書 をクリックします。

  5. SnapCenter Server に使用される取得した CA 証明書を右クリックし、[すべてのタスク] > [エクスポート] を選択してエクスポート ウィザードを起動します。

  6. ウィザードで次の操作を実行します。

オプション 操作

秘密キーのエクスポート

*いいえ、秘密キーをエクスポートしません*を選択し、*次へ*をクリックします。

エクスポート ファイルの形式

*次へ*をクリックします。

ファイル名

*参照*をクリックし、証明書を保存するファイル パスを指定して、*次へ*をクリックします。

証明書のエクスポート ウィザードの完了

概要を確認し、[完了] をクリックしてエクスポートを開始します。

メモ 証明書ベースの認証は、SnapCenter HA構成およびSnapCenter Plug-in for VMware vSphereではサポートされません。

WindowsプラグインホストにCA証明書をインポートする

エクスポートしたSnapCenter Server CA証明書を使用するには、Microsoft管理コンソール(MMC)を使用して、関連する証明書をSnapCenter Windowsプラグイン ホストにインポートする必要があります。

手順

  1. Microsoft 管理コンソール (MMC) に移動し、[ファイル] > [スナップインの追加と削除] をクリックします。

  2. [スナップインの追加と削除] ウィンドウで、[証明書] を選択し、[追加] をクリックします。

  3. 証明書スナップイン ウィンドウで、コンピューター アカウント オプションを選択し、完了 をクリックします。

  4. コンソール ルート > 証明書 - ローカル コンピューター > 個人 > 証明書 をクリックします。

  5. 「個人」フォルダを右クリックし、[すべてのタスク] > [インポート] を選択して、インポート ウィザードを起動します。

  6. ウィザードで次の操作を実行します。

オプション 操作

保存場所

*次へ*をクリックします。

インポートするファイル

拡張子.cerで終わるSnapCenter Server証明書を選択します。

証明書ストア

*次へ*をクリックします。

証明書のエクスポート ウィザードの完了

概要を確認し、[完了] をクリックしてインポートを開始します。

UNIXプラグイン ホストへのCA証明書のインポート

CA証明書をUNIXプラグイン ホストにインポートする必要があります。

このタスクについて

  • SPLキーストアのパスワード、および使用中のCA署名キー ペアのエイリアスを管理できます。

  • SPLキーストアのパスワードと、秘密キーに関連付けられているエイリアス パスワードをすべて同じにする必要があります。

手順

  1. SPLキーストアのデフォルト パスワードは、SPLプロパティ ファイルから取得できます。キーに対応する値です SPL_KEYSTORE_PASS

  2. キーストアのパスワードを変更します。 $ keytool -storepasswd -keystore keystore.jks

  3. キーストア内の秘密鍵エントリのすべてのエイリアスのパスワードを、キーストアで使用されているものと同じパスワードに変更します。 $ keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks

  4. キーSPL_KEYSTORE_PASSも同様に更新します。 `spl.properties``ファイル。

  5. パスワードを変更したら、サービスを再起動します。

ルート証明書または中間証明書のSPLトラストストアへの設定

ルート証明書または中間証明書をSPLトラストストアに設定する必要があります。ルートCA証明書を追加してから、中間CA証明書を追加する必要があります。

手順

  1. SPL キーストアが含まれているフォルダーに移動します。 /var/opt/snapcenter/spl/etc

  2. ファイルを見つける keystore.jks

  3. キーストアに追加された証明書を一覧表示します。 $ keytool -list -v -keystore keystore.jks

  4. ルート証明書または中間証明書を追加します。 $ keytool -import -trustcacerts -alias <AliasNameForCerticateToBeImported> -file /<CertificatePath> -keystore keystore.jks

  5. SPLトラストストアへのルート証明書または中間証明書を設定したら、サービスを再起動します。

SPLトラストストアに対するCA署名付きキー ペアの設定

SPLトラストストアに対してCA署名付きキー ペアを設定する必要があります。

手順

  1. SPLのキーストアを含むフォルダに移動します /var/opt/snapcenter/spl/etc

  2. ファイルを見つける keystore.jks`

  3. キーストアに追加された証明書を一覧表示します。 $ keytool -list -v -keystore keystore.jks

  4. 秘密鍵と公開鍵の両方を持つ CA 証明書を追加します。 $ keytool -importkeystore -srckeystore <CertificatePathToImport> -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS

  5. キーストアに追加された証明書を一覧表示します。 $ keytool -list -v -keystore keystore.jks

  6. キーストアに追加された新しいCA証明書に対応するエイリアスが、キーストアに含まれていることを確認します。

  7. CA証明書に追加した秘密キーのパスワードを、キーストアのパスワードに変更します。

    デフォルトのSPLキーストアのパスワードは、SPL_KEYSTORE_PASSキーの値です。 `spl.properties`ファイル。

    $ keytool -keypasswd -alias "<aliasNameOfAddedCertInKeystore>" -keystore keystore.jks`

  8. CA 証明書のエイリアス名が長く、スペースや特殊文字 (「*」、「」) が含まれている場合は、エイリアス名を単純な名前に変更します。 $ keytool -changealias -alias "<OrignalAliasName>" -destalias "<NewAliasName>" -keystore keystore.jks`

  9. 以下のキーストアからエイリアス名を設定します。 `spl.properties`ファイル。SPL_CERTIFICATE_ALIASキーに対するこの値を更新します。

  10. SPLトラストストアにCA署名キー ペアを設定したら、サービスを再起動します。

SnapCenter証明書のエクスポート

SnapCenter証明書を .pfx 形式でエクスポートする必要があります。

手順

  1. Microsoft 管理コンソール (MMC) に移動し、[ファイル] > [スナップインの追加と削除] をクリックします。

  2. [スナップインの追加と削除] ウィンドウで、[証明書] を選択し、[追加] をクリックします。

  3. 証明書スナップイン ウィンドウで、[ユーザー アカウント] オプションを選択し、[完了] をクリックします。

  4. コンソール ルート > 証明書 - 現在のユーザー > 信頼されたルート証明機関 > 証明書 をクリックします。

  5. SnapCenterフレンドリ名を持つ証明書を右クリックし、[すべてのタスク] > [エクスポート] を選択してエクスポート ウィザードを開始します。

  6. 次の手順でウィザードを実行します。

    ウィザード ウィンドウ 操作

    秘密キーのエクスポート

    *はい、秘密キーをエクスポートします*オプションを選択し、*次へ*をクリックします。

    エクスポート ファイルの形式

    変更せずに、[次へ] をクリックします。

    セキュリティ

    エクスポートされた証明書に使用する新しいパスワードを指定し、[次へ] をクリックします。

    エクスポートするファイル

    エクスポートする証明書のファイル名を指定し (.pfx を使用する必要があります)、[次へ] をクリックします。

    証明書のエクスポート ウィザードの完了

    概要を確認し、[完了] をクリックしてエクスポートを開始します。