Skip to main content
SnapCenter software
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Windowsホストでの双方向SSL通信の設定

PDF

Windowsホスト上のSnapCenter Serverとプラグインの間の相互通信を保護するために、双方向SSL通信を設定する必要があります。

開始する前に

  • サポートされるキーの最小長が3072のCA証明書CSRファイルを生成しておく必要があります。

  • CA証明書でサーバ認証とクライアント認証がサポートされている必要があります。

  • 秘密キーとサムプリントの詳細が記載されたCA証明書が必要です。

  • 一方向SSL設定を有効にしておく必要があります。

    詳細については、 "CA 証明書セクションを構成します。"

  • すべてのプラグイン ホストとSnapCenter Serverで双方向SSL通信を有効にしておく必要があります。

    双方向SSL通信が一部のホストまたはサーバで有効になっていない環境はサポートされていません。

手順

  1. ポートをバインドするには、SnapCenter Serverホストで次の手順を実行します。この手順はPowerShellコマンドを使用してSnapCenter IIS Webサーバのポート8146(デフォルト)で行ったあと、SMCoreポート8145(デフォルト)でも行います。

    1. 次のPowerShellコマンドを使用して、既存のSnapCenter自己署名証明書のポート バインドを削除します。

      > netsh http delete sslcert ipport=0.0.0.0:<SMCore port/IIS port>

      次に例を示します。

      > netsh http delete sslcert ipport=0.0.0.0:8145

      > netsh http delete sslcert ipport=0.0.0.0:8146

    2. 新しく取得したCA証明書をSnapCenter ServerとSMCoreポートにバインドします。

      > $cert = “<CA_certificate thumbprint>”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0: <SMCore Port/IIS port> certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > netsh http show sslcert ipport=0.0.0.0:<SMCore Port/IIS port>

      次に例を示します。

      > $cert = “abc123abc123abc123abc123”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0:8146 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0:8145 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > netsh http show sslcert ipport=0.0.0.0:8146

    > netsh http show sslcert ipport=0.0.0.0:8145

  2. CA 証明書へのアクセス許可を得るには、次の手順を実行して、新しく取得した CA 証明書にアクセスし、証明書のアクセス許可リストに SnapCenter のデフォルトの IIS Web サーバー ユーザー「IIS AppPool\ SnapCenter」を追加します。

    1. Microsoft 管理コンソール (MMC) に移動し、[ファイル] > [スナップインの追加と削除] をクリックします。

    2. [スナップインの追加と削除] ウィンドウで、[証明書] を選択し、[追加] をクリックします。

    3. 証明書スナップイン ウィンドウで、[コンピューター アカウント] オプションを選択し、[完了] をクリックします。

    4. コンソール ルート > 証明書 - ローカル コンピューター > 個人 > 証明書 をクリックします。

    5. SnapCenter証明書を選択します。

    6. ユーザー\権限の追加ウィザードを開始するには、CA 証明書を右クリックし、[すべてのタスク] > [秘密キーの管理] を選択します。

    7. *追加*をクリックし、ユーザーとグループの選択ウィザードで場所をローカルコンピューター名(階層の最上位)に変更します。

    8. IIS AppPool\SnapCenterユーザを追加し、フル コントロール権限を付与します。

  3. CA 証明書 IIS アクセス許可 については、次のパスからSnapCenter Server に新しい DWORD レジストリ キー エントリを追加します。

    Windowsレジストリ エディタで次のパスに移動します。

    HKey_Local_Machine\SYSTEM\CurrentControlSet\Control\SecurityProv ders\SCHANNEL

  4. SCHANNELレジストリ設定のコンテキストで、新しいDWORDレジストリ キー エントリを作成します。

    SendTrustedIssuerList = 0

    ClientAuthTrustMode = 2

双方向SSL通信用のSnapCenter Windowsプラグインの設定

PowerShellコマンドを使用して、SnapCenter Windowsプラグインで双方向SSL通信を使用できるように設定する必要があります。

開始する前に

CA証明書サムプリントが使用可能であることを確認します。

手順

  1. ポートをバインドするには、Windowsプラグイン ホストでSMCoreポート8145(デフォルト)に対して次の操作を実行します。

    1. 次のPowerShellコマンドを使用して、既存のSnapCenter自己署名証明書のポート バインドを削除します。

      > netsh http delete sslcert ipport=0.0.0.0:<SMCore port>

      次に例を示します。

      > netsh http delete sslcert ipport=0.0.0.0:8145

    2. 新しく取得したCA証明書をSMCoreポートにバインドします。

      > $cert = “<CA_certificate thumbprint>”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0: <SMCore Port> certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > netsh http show sslcert ipport=0.0.0.0:<SMCore Port>

      次に例を示します。

      > $cert = “abc123abc123abc123abc123”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0:8145 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

    > netsh http show sslcert ipport=0.0.0.0:8145