Hitachi

JP1 Version 12 JP1/Network Node Manager i セットアップガイド

10.3.8 ディレクトリサービスへのSSL接続を設定する

注意

NNMi 11-50以降のバージョンでは,証明書を保存するためにPublic Key Cryptography Standards (PKCS) #12リポジトリが導入されています。NNMi 11-50以降の新しいインスタンスをシステムにインストールすると,新しいPKCS #12ファイルベースの証明書管理方法を利用できます。以前のバージョンのNNMiからアップグレードした環境では,引き続きJKSリポジトリが証明書の格納に使用されます。

アップグレードした環境で,PKCS #12リポジトリに移行するには,「10.2 アップグレードされたNNMi環境で新しいキーストアーを使用するための設定」の手順に従います。

デフォルトでは,ディレクトリサービス通信を有効にすると,NNMiは,ディレクトリサービスからデータを取得するときにLDAPプロトコルを使用します。ディレクトリサービスでSSL接続が必要な場合は,SSLプロトコルを有効にして,NNMiとディレクトリサービスの間を流れるデータを暗号化する必要があります。

SSLでは,ディレクトリサービスホストとNNMi管理サーバーの間で信頼関係を確立する必要があります。この信頼関係を確立するには,証明書をNNMiトラストストアーに追加します。証明書は,ディレクトリサービスホストの識別情報をNNMi管理サーバーに示すものです。

SSL通信用のトラストストアー証明書をインストールするには,次の手順を実行します。

  1. ディレクトリサーバーから会社のトラストストアー証明書を取得します。

    ディレクトリサービス管理者からこの証明書のテキストファイルのコピーを入手できます。

    なお,トラストストアー証明書の所有者CNは,ディレクトリサーバーのホスト名と一致している必要があります。

  2. NNMiトラストストアーが格納されているディレクトリに移動します。

    • Windowsの場合:%NnmDataDir%shared\nnm\certificates

    • Linuxの場合:$NnmDataDir/shared/nnm/certificates

    certificatesディレクトリから,この手順のコマンドすべてを実行します。

  3. 会社のトラストストアー証明書をNNMiトラストストアーにインポートします。

    メモ

    LDAPディレクトリサーバーのルートCA証明書(中間証明書なし)をNNMiトラストストアーにインポートします。

    複数のLDAPディレクトリサーバーのルートCA証明書をインポートする必要がある場合,2個目以降をインポートする際に,手順中の「nnmi_ldap」を,任意の名称に置き換えてください(例:nnmi_ldap2)。

    1. 次のコマンドを実行します。

      Windowsの場合:

      %NnmInstallDir%bin\nnmkeytool.ovpl -import -alias nnmi_ldap -storetype PKCS12 -keystore nnm-trust.p12 -storepass ovpass -file <Directory_Server_Certificate.txt>

      Linuxの場合:

      $NnmInstallDir/bin/nnmkeytool.ovpl -import -alias nnmi_ldap -storetype PKCS12 -keystore nnm-trust.p12 -storepass ovpass -file <Directory_Server_Certificate.txt>

      <Directory_Server_Certificate.txt>は,会社のトラストストアー証明書です。

    2. 証明書の信頼を確認するメッセージが表示されたら,yと入力します。

      証明書をトラストストアーにインポートするときの出力例

      このコマンドによる出力形式は次のとおりです。

      Owner:CN=NNMi_server.example.com
Issuer:CN=NNMi_server.example.com
Serial number:494440748e5
Valid from:Tue Oct 28 10:16:21 MST 2008 until:Thu Oct 04 11:16:21 MDT 2108
Certificate fingerprints:
MD5:29:02:D7:D7:D7:D7:29:02:29:02:29:02:29:02:29:02
SHA1:C4:03:7E:C4:03:7E:C4:03:7E:C4:03:7E:C4:03:7E:C4:03
Trust this certificate?[no]:y
Certificate was added to keystore

  4. トラストストアーの内容を確認します。

    Windowsの場合:

    %NnmInstallDir%bin\nnmkeytool.ovpl -list -storetype PKCS12 -keystore nnm-trust.p12 -storepass ovpass

    Linuxの場合:

    $NnmInstallDir/bin/nnmkeytool.ovpl -list -storetype PKCS12 -keystore nnm-trust.p12 -storepass ovpass

    トラストストアーの出力例

    トラストストアーの出力形式は次のとおりです。

    Keystore type:PKCS12
Keystore provider:SunJSSE
Your keystore contains 1 entry
nnmi_ldap, Nov 14, 2008, trustedCertEntry,
Certificate fingerprint (MD5):29:02:D7:D7:D7:D7:29:02:29:02:29:02:29:02:29:02
    ヒント

    トラストストアーには複数の証明書を含めることができます。

  5. 次のコマンドを実行して,NNMiを再起動します。

    ovstop
ovstart
重要

高可用性(HA)でファイルの変更を行うとき,クラスターの両方のノードに変更を加える必要があります。変更によってNNMi管理サーバーを停止して再起動する必要がある場合,ノードをメンテナンスモードにしてからovstopコマンドおよびovstartコマンドを実行する必要があります。詳細については,「19.6.1 NNMiをメンテナンスモードにする」を参照してください。

ページの先頭へ

© Copyright 2009-2021 Micro Focus or one of its affiliates.

All Rights Reserved. Copyright (C) 2019, 2021, Hitachi, Ltd.

This software and documentation are based in part on software and documentation under license from Micro Focus or one of its affiliates.