Skip to main content
SnapCenter software
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

証明書ベースの認証の設定

共同作成者

証明書ベースの認証は、SnapCenterサーバとプラグインホストの両方のIDを検証することでセキュリティを強化し、セキュアで暗号化された通信を確保します。

証明書ベースの認証を有効にします

SnapCenter ServerおよびWindowsプラグインホストに対して証明書ベースの認証を有効にするには、次のPowerShellコマンドレットを実行します。Linuxプラグインホストで双方向SSLを有効にすると、証明書ベースの認証が有効になります。

  • クライアント証明書ベースの認証を有効にするには:

    Set-SmConfigSettings -Agent –configSettings @{"EnableClientCertificateAuthentication"="true"} -HostName[hostname]

  • クライアント証明書ベースの認証を無効にするには:

    Set-SmConfigSettings -Agent –configSettings @{"EnableClientCertificateAuthentication"="false"} -HostName [hostname]`

SnapCenterサーバから認証局(CA)証明書をエクスポートします

Microsoft管理コンソール(MMC)を使用して、SnapCenterサーバからプラグインホストにCA証明書をエクスポートする必要があります。

開始する前に

双方向SSLを設定しておく必要があります。

  • 手順 *

    1. Microsoft 管理コンソール (MMC) に移動し、 [ * ファイル * ] 、 [ スナップインの追加と削除 ] の順にクリックします。

    2. [ スナップインの追加と削除 ] ウィンドウで、 [Certificates] を選択し、 [Add] をクリックします。

    3. [証明書スナップイン]ウィンドウで*オプションを選択し、[完了]*をクリックします。

    4. >[証明書-ローカルコンピュータ]>[個人]>[証明書]*をクリックします。

    5. SnapCenterサーバーで使用される調達CA証明書を右クリックし、[すべてのタスク]>*[エクスポート]*を選択してエクスポートウィザードを開始します。

    6. ウィザードで次の操作を実行します。

オプション 操作

秘密キーのエクスポート

を選択し、[次へ]*をクリックします。

エクスポートファイル形式

「 * 次へ * 」をクリックします。

ファイル名

をクリックし、証明書を保存するファイルパスを指定して[次へ]*をクリックします。

証明書のエクスポートウィザードの完了

概要を確認し、 * 完了 * をクリックしてエクスポートを開始します。

メモ 証明書ベースの認証は、SnapCenter HA構成およびSnapCenter Plug-in for VMware vSphereではサポートされません。

WindowsプラグインホストへのCA証明書のインポート

エクスポートしたSnapCenterサーバCA証明書を使用するには、Microsoft管理コンソール(MMC)を使用して、関連する証明書をSnapCenter Windowsプラグインホストにインポートする必要があります。

  • 手順 *

    1. Microsoft 管理コンソール (MMC) に移動し、 [ * ファイル * ] 、 [ スナップインの追加と削除 ] の順にクリックします。

    2. [ スナップインの追加と削除 ] ウィンドウで、 [Certificates] を選択し、 [Add] をクリックします。

    3. [証明書スナップイン]ウィンドウで*オプションを選択し、[完了]*をクリックします。

    4. >[証明書-ローカルコンピュータ]>[個人]>[証明書]*をクリックします。

    5. 「個人」フォルダを右クリックし、すべてのタスク>*インポート*を選択してインポートウィザードを開始します。

    6. ウィザードで次の操作を実行します。

オプション 操作

ストアの場所

「 * 次へ * 」をクリックします。

インポートするファイル

拡張子.cerで終わるSnapCenterサーバ証明書を選択します。

証明書ストア

「 * 次へ * 」をクリックします。

証明書のエクスポートウィザードの完了

概要を確認し、 [ 完了 ] をクリックしてインポートを開始します。

CA証明書をUNIXプラグインホストにインポートします

CA証明書をUNIXプラグインホストにインポートする必要があります。

  • このタスクについて *

  • SPLキーストアのパスワード、および使用中のCA署名キーペアのエイリアスを管理できます。

  • SPLキーストアのパスワードと、秘密鍵に関連付けられているすべてのエイリアスパスワードは同じである必要があります。

  • 手順 *

    1. SPLキーストアのデフォルトパスワードは、SPLプロパティファイルから取得できます。キーに対応する値です SPL_KEYSTORE_PASS

    2. キーストアのパスワードを変更します。 $ keytool -storepasswd -keystore keystore.jks

    3. キーストア内の秘密鍵エントリのすべてのエイリアスのパスワードを、キーストアと同じパスワードに変更します。 $ keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks

    4. ファイルのSPL_KEYSTORE_PASSキーについても同じ内容を更新し spl.properties` ます。

    5. パスワードを変更したら、サービスを再起動します。

spl trust-storeに対するルート証明書または中間証明書の設定

ルート証明書または中間証明書をspl trust-storeに設定する必要があります。ルートCA証明書のあとに中間CA証明書を追加する必要があります。

  • 手順 *

    1. SPLキーストアが格納されているフォルダに移動します /var/opt/snapcenter/spl/etc

    2. ファイルを探します keystore.jks

    3. キーストアに追加された証明書を一覧表示します。 $ keytool -list -v -keystore keystore.jks

    4. ルート証明書または中間証明書を追加します。 $ keytool -import -trustcacerts -alias <AliasNameForCerticateToBeImported> -file /<CertificatePath> -keystore keystore.jks

    5. spl trust-storeにルート証明書または中間証明書を設定したら、サービスを再起動します。

SPL trust-storeへのCA署名済みキーペアの設定

SPL trust-storeにCA署名付きキーペアを設定する必要があります。

  • 手順 *

    1. SPLのキーストアが格納されているフォルダに移動し `/var/opt/snapcenter/spl/etc`ます。

    2. ファイルを探します keystore.jks`

    3. キーストアに追加された証明書を一覧表示します。 $ keytool -list -v -keystore keystore.jks

    4. 秘密鍵と公開鍵の両方が設定されたCA証明書を追加します。 $ keytool -importkeystore -srckeystore <CertificatePathToImport> -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype JKS

    5. キーストアに追加された証明書を一覧表示します。 $ keytool -list -v -keystore keystore.jks

    6. キーストアに追加された新しいCA証明書に対応するエイリアスがキーストアに含まれていることを確認します。

    7. CA証明書に追加した秘密鍵のパスワードをキーストアのパスワードに変更します。

      デフォルトのSPLキーストアパスワードは、ファイル内のキーspl_keystore_passの値です spl.properties

    $ keytool -keypasswd -alias "<aliasNameOfAddedCertInKeystore>" -keystore keystore.jks`

    1. CA証明書のエイリアス名が長く、スペースまたは特殊文字("*"、"、"、")が含まれている場合は、エイリアス名を単純な名前に変更します。 $ keytool -changealias -alias "<OrignalAliasName>" -destalias "<NewAliasName>" -keystore keystore.jks`

    2. ファイルにあるキーストアからエイリアス名を設定し spl.properties ます。この値をSPL_CERTIFICATE_ALIASキーに対して更新します。

    3. SPL trust-storeにCA署名キーペアを設定したら、サービスを再起動します。

SnapCenter証明書のエクスポート

SnapCenter証明書は.pfx形式でエクスポートする必要があります。

  • 手順 *

    1. Microsoft 管理コンソール (MMC) に移動し、 [ * ファイル * ] 、 [ * スナップインの追加と削除 ] の順にクリックします。

    2. [ スナップインの追加と削除 ] ウィンドウで、 [Certificates] を選択し、 [Add] をクリックします。

    3. [ 証明書 ] スナップインウィンドウで、 [ マイユーザーアカウント *] オプションを選択し、 [ 完了 *] をクリックします。

    4. [ * コンソールルート >*Certificates - Current User>*Trusted Root Certification Authorities*>*Certificates* ] をクリックします。

    5. SnapCenter フレンドリ名が表示されている証明書を右クリックし、 * すべてのタスク * > * エクスポート * を選択してエクスポートウィザードを開始します。

    6. 次の手順でウィザードを完了します。

      ウィザードウィンドウ 操作

      秘密キーのエクスポート

      [ はい ] を選択し、秘密鍵 * をエクスポートして、 [ 次へ ] をクリックします。

      エクスポートファイル形式

      変更せずに、 * 次へ * をクリックします。

      セキュリティ

      エクスポートされた証明書に使用する新しいパスワードを指定し、 * Next * をクリックします。

      エクスポートするファイル

      エクスポートされた証明書のファイル名を指定し( .pfx を使用する必要があります)、 * 次へ * をクリックします。

      証明書のエクスポートウィザードの完了

      概要を確認し、 * 完了 * をクリックしてエクスポートを開始します。