Hitachi Command Suite システム構成ガイド
Hitachi Command Suite共通コンポーネントのSSL/TLSを有効にする場合は,user_httpsd.confファイルを編集します。
- Hitachi Command Suite共通コンポーネントの秘密鍵の作成(SSL/TLSの有効化に必要)※
- Hitachi Command Suite共通コンポーネントのサーバ証明書の準備(SSL/TLSの有効化に必要)※
認証局から返送されたサーバ証明書を準備します。暗号化通信のテストなどの目的の場合は,自己署名証明書でもかまいません。- 次の情報の確認
- 証明書発行要求のCommon Nameに設定したホスト名(SSL/TLSの有効化に必要)
- 注※
- 次の場所にコピーしておくことをお勧めします。
- Windowsの場合:
- <Hitachi Command Suiteのインストールフォルダ>\Base64\uCPSB\httpsd\conf\ssl\server
- Linuxの場合:
- <Hitachi Command Suiteのインストールディレクトリ>/Base64/uCPSB/httpsd/conf/ssl/server
- Hitachi Command Suite製品のサービスを停止します。
- user_httpsd.confファイルを編集します。
user_httpsd.confファイルの格納場所user_httpsd.confファイルの例(デフォルト)
- Windowsの場合:
- <Hitachi Command Suiteのインストールフォルダ>\Base64\uCPSB\httpsd\conf\user_httpsd.conf
- Linuxの場合:
- <Hitachi Command Suiteのインストールディレクトリ>/Base64/uCPSB/httpsd/conf/user_httpsd.conf
SSL/TLSの有効化に必要な設定
重要
- ディレクティブを編集する際は,次の点に注意してください。
- ディレクティブを重複して指定しないでください。
- 1つのディレクティブの途中で改行しないでください。
- 各ディレクティブに指定するパスには,シンボリックリンクやジャンクションを指定しないでください。
- 各ディレクティブに指定する証明書および秘密鍵ファイルには,PEM形式のファイルを指定してください。
- httpsd.confファイルおよびhsso_httpsd.confファイルは編集しないでください。
- 次の行頭の番号記号(#)を削除します。
RSA暗号だけを使用する場合,SSLECCCertificateKeyFileディレクティブおよびSSLECCCertificateFileディレクティブの行頭の番号記号(#)を削除する必要はありません。- 先頭行のServerNameディレクティブと<VirtualHost>タグ内のServerNameディレクティブに,証明書発行要求のCommon Nameに設定したホスト名(クラスタ環境の場合は論理ホスト名)を指定します。大文字,小文字の区別も同じにしてください。
- SSLCertificateKeyFileディレクティブに,RSA暗号のHitachi Command Suite共通コンポーネントの秘密鍵ファイルを絶対パスで指定します。
- SSLCertificateFileディレクティブに,RSA暗号のHitachi Command Suite共通コンポーネントのサーバ証明書を絶対パスで指定します。
- SSLECCCertificateKeyFileディレクティブに,楕円曲線暗号のHitachi Command Suite共通コンポーネントの秘密鍵ファイルを絶対パスで指定します。RSA暗号だけを使用する場合,この設定は不要です。
- SSLECCCertificateFileディレクティブに,楕円曲線暗号のHitachi Command Suite共通コンポーネントのサーバ証明書を絶対パスで指定します。RSA暗号だけを使用する場合,この設定は不要です。
- Hitachi Command Suite共通コンポーネントのサーバ証明書を発行した認証局が中間認証局の場合は,SSLCACertificateFileディレクティブの行頭の番号記号(#)を削除して,すべての中間認証局の証明書を絶対パスで指定します。複数の証明書をテキストエディターで連結させることで,1つのファイルに複数の証明書を混在させることができます。
- IPv6環境の場合,#Listen [::]:22016の行頭の番号記号(#)を削除します。
重要
- SSLを有効にする場合やDevice ManagerをIPv6環境で運用する場合でも,Listen 22015の行を削除したり,コメント行にしたりしないでください。
外部から管理サーバへの非SSL通信を遮断したい場合は,Listen 22015とListen [::]:22015の行頭に番号記号(#)を追記してコメント行にしたあと,#Listen 127.0.0.1:22015の行頭の番号記号を削除してください。ただし,Hitachi File Services ManagerやStorage Navigator Modular 2と連携しているときは,この設定をすると正常に連携できなくなることがあります。これらの製品と連携している場合,各製品のドキュメントで外部からの非SSL通信の遮断をサポートしているかを確認し,ドキュメントに従い設定してください。- Hitachi Command Suiteをバージョン8.2.1 以前からアップグレードインストールしても,user_httpsd.confファイルに楕円曲線暗号の内容は反映されません。楕円曲線暗号を使用する場合,次の場所に格納されているサンプルファイルから,SSLRequiredCiphersディレクティブ,SSLECCCertificateKeyFileディレクティブおよびSSLECCCertificateFileディレクティブの内容をコピーして使用してください。
Windowsの場合:
<Hitachi Command Suiteのインストールフォルダ>\Base64\sample\httpsd\conf\user_httpsd.conf
Linuxの場合:
<Hitachi Command Suiteのインストールディレクトリ>/Base64/sample/httpsd/conf/user_httpsd.conf- Hitachi File Services Managerや32bit版Storage Navigator Modular 2と連携している場合にSSL/TLSを有効にするときは,次の場所に格納されているhttpsd.confファイルも編集してください。
Windowsの場合:
<Hitachi File Services Managerまたは32bit版Storage Navigator Modular 2のインストールフォルダ>\Base\httpsd\conf\httpsd.conf
Linuxの場合:
<Hitachi File Services Managerまたは32bit版Storage Navigator Modular 2のインストールディレクトリ>/Base/httpsd/conf/httpsd.conf
編集方法については,Hitachi File Services ManagerまたはStorage Navigator Modular 2のマニュアルを参照してください。
参考
- SSL/TLSを無効にするには,user_httpsd.confファイルの例(デフォルト)を参考に,Listen 22016からHWSLogSSLVerbose Onまでの行頭に番号記号(#)を追記して,コメント行にしてください。
- Hitachi Command Suite製品のサービスを起動します。
All Rights Reserved. Copyright© 2014, 2020, Hitachi, Ltd.