Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Windowsホストでの双方向SSL通信の設定

共同作成者
PDF

Windowsホスト上のSnapCenterサーバとプラグインの間の相互通信を保護するために、双方向SSL通信を設定する必要があります。

開始する前に

  • サポートされるキーの最小長が3072のCA証明書CSRファイルを生成しておく必要があります。

  • CA証明書でサーバ認証とクライアント認証がサポートされている必要があります。

  • 秘密鍵とサムプリントの詳細が記載されたCA証明書が必要です。

  • 一方向SSL設定を有効にしておく必要があります。

    詳細については、を参照してください。 "CA証明書の設定セクション"

  • すべてのプラグインホストとSnapCenterサーバで双方向SSL通信を有効にしておく必要があります。

    一部のホストまたはサーバで双方向SSL通信が有効になっていない環境はサポートされません。

手順

  1. ポートをバインドするには、PowerShellコマンドを使用して、SnapCenter IIS Webサーバポート8146(デフォルト)およびSMCoreポート8145(デフォルト)のSnapCenterサーバホストで次の手順を実行します。

    1. 次のPowerShellコマンドを使用して、既存のSnapCenter自己署名証明書のポートバインドを削除します。

      > netsh http delete sslcert ipport=0.0.0.0:<SMCore port/IIS port>

      例えば、

      > netsh http delete sslcert ipport=0.0.0.0:8145

      > netsh http delete sslcert ipport=0.0.0.0:8146

    2. 新しく取得したCA証明書をSnapCenterサーバとSMCoreポートにバインドします。

      > $cert = “<CA_certificate thumbprint>”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0: <SMCore Port/IIS port> certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > netsh http show sslcert ipport=0.0.0.0:<SMCore Port/IIS port>

      例えば、

      > $cert = “abc123abc123abc123abc123”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0:8146 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0:8145 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > netsh http show sslcert ipport=0.0.0.0:8146

    > netsh http show sslcert ipport=0.0.0.0:8145

  2. CA証明書の権限にアクセスするには、次の手順を実行して新しく取得したCA証明書にアクセスし、SnapCenterのデフォルトのIIS Webサーバユーザ「* IIS AppPool\SnapCenter *」を証明書の権限のリストに追加します。

    1. Microsoft管理コンソール(MMC)に移動し、[ファイル]>*[SnapInの追加と削除]*をクリックします。

    2. [ スナップインの追加と削除 ] ウィンドウで、 [Certificates] を選択し、 [Add] をクリックします。

    3. [ 証明書 ] スナップインウィンドウで、 [Computer account] オプションを選択し、 [ 完了 *] をクリックします。

    4. コンソールルート]>[証明書–ローカルコンピューター]>[個人]>[証明書]の順にクリックします。

    5. SnapCenter証明書を選択します。

    6. ユーザー/権限の追加ウィザードを開始するには、CA証明書を右クリックし、[すべてのタスク]>*[秘密鍵の管理]*を選択します。

    7. [追加]*をクリックし、[ユーザーとグループの選択]ウィザードで場所をローカルコンピュータ名(階層の最上位)に変更します。

    8. IIS AppPool\SnapCenterユーザを追加し、フルコントロール権限を付与します。

  3. CA証明書IIS権限*の場合、次のパスからSnapCenterサーバーに新しいDWORDレジストリキーエントリを追加します。

    Windowsレジストリエディタで、次のパスに移動します。

    HKey_Local_Machine\SYSTEM\CurrentControlSet\Control\SecurityProv ders\SCHANNEL

  4. SCHANNELレジストリ設定のコンテキストで、新しいDWORDレジストリキーエントリを作成します。

    SendTrustedIssuerList = 0

    ClientAuthTrustMode = 2

双方向SSL通信用のSnapCenter Windowsプラグインを設定します

SnapCenter Windowsプラグインは、PowerShellコマンドを使用して双方向SSL通信用に設定する必要があります。

開始する前に

CA証明書サムプリントが使用可能であることを確認します。

手順

  1. ポートをバインドするには、WindowsプラグインホストでSMCoreポート8145(デフォルト)に対して次の操作を実行します。

    1. 次のPowerShellコマンドを使用して、既存のSnapCenter自己署名証明書のポートバインドを削除します。

      > netsh http delete sslcert ipport=0.0.0.0:<SMCore port>

      例えば、

      > netsh http delete sslcert ipport=0.0.0.0:8145

    2. 新しく取得したCA証明書をSMCoreポートにバインドします。

      > $cert = “<CA_certificate thumbprint>”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0: <SMCore Port> certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

      > netsh http show sslcert ipport=0.0.0.0:<SMCore Port>

      例えば、

      > $cert = “abc123abc123abc123abc123”

      > $guid = [guid]::NewGuid().ToString("B")

      > netsh http add sslcert ipport=0.0.0.0:8145 certhash=$cert appid="$guid" clientcertnegotiation=enable verifyclientcertrevocation=disable

    > netsh http show sslcert ipport=0.0.0.0:8145