証明書ベースの認証の設定
証明書ベースの認証は、SnapCenterサーバとプラグインホストの両方のIDを検証することでセキュリティを強化し、セキュアで暗号化された通信を確保します。
証明書ベースの認証を有効にします
SnapCenter ServerおよびWindowsプラグインホストに対して証明書ベースの認証を有効にするには、次のPowerShellコマンドレットを実行します。Linuxプラグインホストで双方向SSLを有効にすると、証明書ベースの認証が有効になります。
-
クライアント証明書ベースの認証を有効にするには:
Set-SmConfigSettings -Agent –configSettings @{"EnableClientCertificateAuthentication"="true"}
-HostName
[hostname] -
クライアント証明書ベースの認証を無効にするには:
Set-SmConfigSettings -Agent –configSettings @{"EnableClientCertificateAuthentication"="false"}
-HostName
[hostname]`
SnapCenterサーバから認証局(CA)証明書をエクスポートします
Microsoft管理コンソール(MMC)を使用して、SnapCenterサーバからプラグインホストにCA証明書をエクスポートする必要があります。
双方向SSLを設定しておく必要があります。
-
手順 *
-
Microsoft 管理コンソール (MMC) に移動し、 [ * ファイル * ] 、 [ スナップインの追加と削除 ] の順にクリックします。
-
[ スナップインの追加と削除 ] ウィンドウで、 [Certificates] を選択し、 [Add] をクリックします。
-
[証明書スナップイン]ウィンドウで*オプションを選択し、[完了]*をクリックします。
-
>[証明書-ローカルコンピュータ]>[個人]>[証明書]*をクリックします。
-
SnapCenterサーバーで使用される調達CA証明書を右クリックし、[すべてのタスク]>*[エクスポート]*を選択してエクスポートウィザードを開始します。
-
ウィザードで次の操作を実行します。
-
オプション | 操作 |
---|---|
秘密キーのエクスポート |
を選択し、[次へ]*をクリックします。 |
エクスポートファイル形式 |
「 * 次へ * 」をクリックします。 |
ファイル名 |
をクリックし、証明書を保存するファイルパスを指定して[次へ]*をクリックします。 |
証明書のエクスポートウィザードの完了 |
概要を確認し、 * 完了 * をクリックしてエクスポートを開始します。 |
|
証明書ベースの認証は、SnapCenter HA構成およびSnapCenter Plug-in for VMware vSphereではサポートされません。 |
WindowsプラグインホストへのCA証明書のインポート
エクスポートしたSnapCenterサーバCA証明書を使用するには、Microsoft管理コンソール(MMC)を使用して、関連する証明書をSnapCenter Windowsプラグインホストにインポートする必要があります。
-
手順 *
-
Microsoft 管理コンソール (MMC) に移動し、 [ * ファイル * ] 、 [ スナップインの追加と削除 ] の順にクリックします。
-
[ スナップインの追加と削除 ] ウィンドウで、 [Certificates] を選択し、 [Add] をクリックします。
-
[証明書スナップイン]ウィンドウで*オプションを選択し、[完了]*をクリックします。
-
>[証明書-ローカルコンピュータ]>[個人]>[証明書]*をクリックします。
-
「個人」フォルダを右クリックし、すべてのタスク>*インポート*を選択してインポートウィザードを開始します。
-
ウィザードで次の操作を実行します。
-
オプション | 操作 |
---|---|
ストアの場所 |
「 * 次へ * 」をクリックします。 |
インポートするファイル |
拡張子.cerで終わるSnapCenterサーバ証明書を選択します。 |
証明書ストア |
「 * 次へ * 」をクリックします。 |
証明書のエクスポートウィザードの完了 |
概要を確認し、 [ 完了 ] をクリックしてインポートを開始します。 |
CA証明書をUNIXプラグインホストにインポートします
CA証明書をUNIXプラグインホストにインポートする必要があります。
-
このタスクについて *
-
SPLキーストアのパスワード、および使用中のCA署名キーペアのエイリアスを管理できます。
-
SPLキーストアのパスワードと、秘密鍵に関連付けられているすべてのエイリアスパスワードは同じである必要があります。
-
手順 *
-
SPLキーストアのデフォルトパスワードは、SPLプロパティファイルから取得できます。キーに対応する値です
SPL_KEYSTORE_PASS
。 -
キーストアのパスワードを変更します。
$ keytool -storepasswd -keystore keystore.jks
-
キーストア内の秘密鍵エントリのすべてのエイリアスのパスワードを、キーストアと同じパスワードに変更します。
$ keytool -keypasswd -alias "<alias_name>" -keystore keystore.jks
-
ファイルのSPL_KEYSTORE_PASSキーについても同じ内容を更新し
spl.properties`
ます。 -
パスワードを変更したら、サービスを再起動します。
-
spl trust-storeに対するルート証明書または中間証明書の設定
ルート証明書または中間証明書をspl trust-storeに設定する必要があります。ルートCA証明書のあとに中間CA証明書を追加する必要があります。
-
手順 *
-
SPLキーストアが格納されているフォルダに移動します
/var/opt/snapcenter/spl/etc
。 -
ファイルを探します
keystore.jks
。 -
キーストアに追加された証明書を一覧表示します。
$ keytool -list -v -keystore keystore.jks
-
ルート証明書または中間証明書を追加します。
$ keytool -import -trustcacerts -alias <AliasNameForCerticateToBeImported> -file /<CertificatePath> -keystore
keystore.jks
-
spl trust-storeにルート証明書または中間証明書を設定したら、サービスを再起動します。
-
SPL trust-storeへのCA署名済みキーペアの設定
SPL trust-storeにCA署名付きキーペアを設定する必要があります。
-
手順 *
-
SPLのキーストアが格納されているフォルダに移動し `/var/opt/snapcenter/spl/etc`ます。
-
ファイルを探します
keystore.jks`
。 -
キーストアに追加された証明書を一覧表示します。
$ keytool -list -v -keystore keystore.jks
-
秘密鍵と公開鍵の両方が設定されたCA証明書を追加します。
$ keytool -importkeystore -srckeystore <CertificatePathToImport> -srcstoretype pkcs12 -destkeystore keystore.jks
-deststoretype JKS
-
キーストアに追加された証明書を一覧表示します。
$ keytool -list -v -keystore keystore.jks
-
キーストアに追加された新しいCA証明書に対応するエイリアスがキーストアに含まれていることを確認します。
-
CA証明書に追加した秘密鍵のパスワードをキーストアのパスワードに変更します。
デフォルトのSPLキーストアパスワードは、ファイル内のキーspl_keystore_passの値です
spl.properties
。
$ keytool -keypasswd -alias "<aliasNameOfAddedCertInKeystore>" -keystore keystore.jks`
-
CA証明書のエイリアス名が長く、スペースまたは特殊文字("*"、"、"、")が含まれている場合は、エイリアス名を単純な名前に変更します。
$ keytool -changealias -alias "<OrignalAliasName>" -destalias "<NewAliasName>" -keystore keystore.jks`
-
ファイルにあるキーストアからエイリアス名を設定し
spl.properties
ます。この値をSPL_CERTIFICATE_ALIASキーに対して更新します。 -
SPL trust-storeにCA署名キーペアを設定したら、サービスを再起動します。
-
SnapCenter証明書のエクスポート
SnapCenter証明書は.pfx形式でエクスポートする必要があります。
-
手順 *
-
Microsoft 管理コンソール (MMC) に移動し、 [ * ファイル * ] 、 [ * スナップインの追加と削除 ] の順にクリックします。
-
[ スナップインの追加と削除 ] ウィンドウで、 [Certificates] を選択し、 [Add] をクリックします。
-
[ 証明書 ] スナップインウィンドウで、 [ マイユーザーアカウント *] オプションを選択し、 [ 完了 *] をクリックします。
-
[ * コンソールルート >*Certificates - Current User>*Trusted Root Certification Authorities*>*Certificates* ] をクリックします。
-
SnapCenter フレンドリ名が表示されている証明書を右クリックし、 * すべてのタスク * > * エクスポート * を選択してエクスポートウィザードを開始します。
-
次の手順でウィザードを完了します。
ウィザードウィンドウ 操作 秘密キーのエクスポート
[ はい ] を選択し、秘密鍵 * をエクスポートして、 [ 次へ ] をクリックします。
エクスポートファイル形式
変更せずに、 * 次へ * をクリックします。
セキュリティ
エクスポートされた証明書に使用する新しいパスワードを指定し、 * Next * をクリックします。
エクスポートするファイル
エクスポートされた証明書のファイル名を指定し( .pfx を使用する必要があります)、 * 次へ * をクリックします。
証明書のエクスポートウィザードの完了
概要を確認し、 * 完了 * をクリックしてエクスポートを開始します。
-