Compute Systems Manager 導入・設定ガイド
管理サーバと管理クライアント間でSSL通信するためには,管理サーバで次の手順を実行してください。
Compute Systems Managerでは,暗号方式がRSA暗号および楕円曲線暗号(ECC)のサーバ証明書に対応しています。
重要
- ほかのHitachi Command Suite製品がCompute Systems Managerと同じマシンにインストールされている場合,この手順を実行すると,それらの製品の管理サーバと管理クライアント間の通信にもSSL通信が適用されます。
- 管理クライアントで使用するWebブラウザーのバージョン
管理クライアントで使用するWebブラウザーが,サーバ証明書の署名アルゴリズムに対応している必要があります。次の情報については,使用する認証局に確認してください。
- 証明書発行要求の要件
hcmds64ssltoolコマンドで作成される証明書発行要求はPEM形式です。秘密鍵のキーサイズは,RSA暗号用のサーバ証明書の場合は2,048ビット,楕円曲線暗号用のサーバ証明書の場合は256ビットまたは384ビットです。- 認証局が発行するサーバ証明書の要件
X.509 PEM形式のサーバ証明書を発行してもらう必要があります。
また,サーバ証明書の署名アルゴリズムに,認証局が対応していることを確認してください。- サーバ証明書の発行申請方法
- 既存の秘密鍵,証明書発行要求,自己署名証明書,および自己署名証明書の内容ファイルの退避または削除(再作成する場合)
出力先パスに同じ名称のファイルがある場合,hcmds64ssltoolコマンドを実行してもファイルは上書きされません。同じ名称のファイルを再作成する場合は,事前に既存のファイルを退避または削除する必要があります。管理サーバでSSL通信するよう設定する手順を次に示します。
- Compute Systems Managerを起動します。
- 次のコマンドを実行して,Hitachi Command Suite共通コンポーネントの秘密鍵,証明書発行要求,および自己署名証明書を作成します。
自己署名証明書は,暗号化通信のテストなどの目的でだけ使用することをお勧めします。
Windows:
<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>\bin\hcmds64ssltool [/key <秘密鍵ファイル>] [/csr <証明書発行要求ファイル>] [/cert <自己署名証明書ファイル>] [/certtext <自己署名証明書の内容ファイル>] [/validity <有効期限>] [/sigalg <RSA暗号用のサーバ証明書の署名アルゴリズム>] [/eccsigalg <楕円曲線暗号用のサーバ証明書の署名アルゴリズム>] [/ecckeysize <楕円曲線暗号用の秘密鍵のキーサイズ>]
Linux:
<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/bin/hcmds64ssltool [-key <秘密鍵ファイル>] [-csr <証明書発行要求ファイル>] [-cert <自己署名証明書ファイル>] [-certtext <自己署名証明書の内容ファイル>] [-validity <有効期限>] [-sigalg <RSA暗号用のサーバ証明書の署名アルゴリズム>] [-eccsigalg <楕円曲線暗号用のサーバ証明書の署名アルゴリズム>] [-ecckeysize <楕円曲線暗号用の秘密鍵のキーサイズ>]
- key
- 出力される秘密鍵ファイル名を絶対パスで指定します。指定を省略した場合は,デフォルトの出力先パス※にhttpsdkey.pem(RSA暗号用)およびecc-httpsdkey.pem(楕円曲線暗号用)というファイル名で出力されます。
- csr
- 出力される証明書発行要求ファイル名を絶対パスで指定します。指定を省略した場合は,デフォルトの出力先パス※にhttpsd.csr(RSA暗号用)およびecc-httpsd.csr(楕円曲線暗号用)というファイル名で出力されます。
- cert
- 出力される自己署名証明書ファイル名を絶対パスで指定します。指定を省略した場合は,デフォルトの出力先パス※にhttpsd.pem(RSA暗号用)およびecc-httpsd.pem(楕円曲線暗号用)というファイル名で出力されます。
- certtext
- 出力される自己署名証明書の内容ファイル名を絶対パスで指定します。指定を省略した場合は,デフォルトの出力先パス※にhttpsd.txt(RSA暗号用)およびecc-httpsd.txt(楕円曲線暗号用)というファイル名で出力されます。
- validity
- 自己署名証明書の有効期間を日数で指定します。指定を省略した場合は,有効期間は3650日になります。
- sigalg
- RSA暗号用のサーバ証明書の署名アルゴリズムを指定します。SHA256withRSA,SHA1withRSAまたはMD5withRSAを指定できます。指定を省略した場合は,署名アルゴリズムはSHA256withRSAになります。
- eccsigalg
- 楕円曲線暗号用のサーバ証明書の署名アルゴリズムを指定します。SHA512withECDSA,SHA384withECDSA,SHA256withECDSAまたはSHA1withECDSAを指定できます。指定を省略した場合は,署名アルゴリズムはSHA384withECDSAになります。
コマンドを実行すると,指定した出力先パスにRSA暗号用のファイルと楕円曲線暗号用のファイルが出力されます。RSA暗号用のファイルは指定したファイル名で出力され,楕円曲線暗号用のファイルは指定したファイル名の先頭に「ecc-」が追加されて出力されます。
- ecckeysize
- 楕円曲線暗号用のサーバ証明書の秘密鍵のキーサイズ(ビット)を指定します。256または384を指定できます。指定を省略した場合は,キーサイズは384になります。
- 注※
- key,csr,certまたはcerttextオプションの指定を省略した場合の出力先パスは次のとおりです。
- Windows:
- <Hitachi Command Suite共通コンポーネントのインストールディレクトリ>\uCPSB\httpsd\conf\ssl\server
- Linux:
- <Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/uCPSB/httpsd/conf/ssl/server
- コマンド実行後に入力を求められたら,コロン(:)のあとに値を入力します。
フィールドを空白にしておく場合は,ピリオド(.)を入力します。[]内に示されるデフォルト値を選択する場合は,[Enter]キーを押します。Enter Server Name [default=<管理サーバのホスト名>]:<管理サーバのホスト名> Enter Organizational Unit:<組織の構成単位名> Enter Organization Name [default=<管理サーバのホスト名>]:<組織名> Enter your City or Locality:<市町村名または地域名> Enter your State or Province:<都道府県名> Enter your two-character country-code:<2文字の国コード>- 作成した証明書発行要求を認証局に送付し,サーバ証明書の発行を申請します。
自己署名証明書を使用する場合,この手順は不要です。
認証局で発行されたサーバ証明書は,通常,Eメールで送付されます。認証局からの返答,および発行されたサーバ証明書は保存しておいてください。- Compute Systems Managerを停止します。
- 作成した秘密鍵と,サーバ証明書または自己署名証明書を次のディレクトリにコピーします。
Windows:
<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>\uCPSB\httpsd\conf\ssl\server
Linux:
<Hitachi Command Suite 共通コンポーネントのインストールディレクトリ>/uCPSB/httpsd/conf/ssl/server
参考
- 手順2で,hcmds64ssltoolコマンドのkey,csr,またはcertオプションを省略して実行した場合,上記のディレクトリにファイルが出力されます。
- 次に示すuser_httpsd.confを開きます。
Windows:
<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>\uCPSB\httpsd\conf\user_httpsd.conf
Linux:
<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/uCPSB/httpsd/conf/user_httpsd.conf- user_httpsd.confファイルの次のプロパティから,#を削除します。
- #Listen 22016
- #<VirtualHost *:22016>から#</VirtualHost>までの各行
ただし,#SSLCACertificateFileの#は削除しません。- #HWSLogSSLVerbose On
- user_httpsd.confファイルの次のプロパティを,必要に応じて編集します。
user_httpsd.confの編集例を次に示します。ここでは,デフォルトのポート番号を示しています。
- 先頭行のServerName
- <VirtualHost>タグ内のServerName
- SSLCertificateKeyFile
- SSLCertificateFile
- SSLECCCertificateKeyFile
- SSLECCCertificateFile
- #SSLCACertificateFile
チェインした認証局で発行されたサーバ証明書を使用して運用する場合は,# SSLCACertificateFileの#を削除して,チェインした認証局の証明書ファイルを絶対パスで指定します。ServerName <ホスト名> Listen 22015 Listen [::]:22015 #Listen 127.0.0.1:22015 SSLDisable Listen 22016 #Listen [::]:22016 <VirtualHost *:22016> ServerName <ホスト名> SSLEnable SSLProtocol TLSv12 SSLRequiredCiphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA:AES256-SHA256:AES256-SHA:AES128-SHA256:AES128-SHA:DES-CBC3-SHA SSLRequireSSL SSLCertificateKeyFile "<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/uCPSB/httpsd/conf/ssl/server/<秘密鍵ファイル(RSA暗号用)>" SSLCertificateFile "<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/uCPSB/httpsd/conf/ssl/server/<サーバ証明書または自己署名証明書ファイル(RSA暗号用)>" SSLECCCertificateKeyFile "<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/uCPSB/httpsd/conf/ssl/server/<秘密鍵ファイル(楕円曲線暗号用)>" SSLECCCertificateFile "<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/uCPSB/httpsd/conf/ssl/server/<サーバ証明書または自己署名証明書ファイル(楕円曲線暗号用)>" # SSLCACertificateFile "<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/uCPSB/httpsd/conf/ssl/cacert/<認証局の証明書ファイル>" </VirtualHost> HWSLogSSLVerbose On
重要
- 外部から管理サーバへの非SSL通信を遮断したい場合は,user_httpsd.confファイルの「Listen 22015」と「Listen [::]:22015」の行に#を追記してコメント行にしたあと,「#Listen 127.0.0.1:22015」の行から#を削除してください。
この場合に,管理サーバに32ビットのHitachi Command Suite共通コンポーネントを使用する製品がインストールされているときは,これらの製品が提供するhcmdsprmsetコマンドにprintオプションを指定して実行し,表示されたホスト名から127.0.0.1への名前解決ができることを確認してください。
名前解決ができない場合は,OS上でホスト名から127.0.0.1への名前解決ができるようにするか,hostsファイルで任意のホスト名を127.0.0.1に定義したあと,hcmdsprmsetコマンドのhostオプションにそのホスト名を指定して実行してください。- バージョン8.2.1より前のCompute Systems Managerからアップグレードした場合,楕円曲線暗号用のサーバ証明書を使用するときは,次のプロパティを編集および追加する必要があります。
・SSLRequiredCiphers(編集)
・SSLECCCertificateKeyFile(追加)
・SSLECCCertificateFile(追加)
上記の各プロパティの内容を,次に示すサンプルファイルからコピーしてuser_httpsd.confファイルに反映してください。
Windows:
<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>\sample\httpsd\conf\user_httpsd.conf
Linux:
<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/sample/httpsd/conf/user_httpsd.conf- サーバ証明書は,RSA暗号用および楕円曲線暗号用の両方を使用することを推奨します。認証局が楕円曲線暗号用のサーバ証明書をサポートしていないなどの理由で,RSA暗号用のサーバ証明書だけを使用する場合は,user_httpsd.confファイルが次の条件をすべて満たすことを確認してください。
・SSLRequiredCiphersプロパティに,「ECDHE-ECDSA-」で始まる記述が含まれていないこと。
RSA暗号のサーバ証明書だけを使用する場合のSSLRequiredCiphersプロパティの内容を次に示します。
SSLRequiredCiphers AES256-SHA256:AES256-SHA:AES128-SHA256:AES128-SHA:DES-CBC3-SHA
・SSLECCCertificateKeyFileプロパティ,およびSSLECCCertificateFileプロパティが記述されていないか,プロパティの行頭に#を追記してコメント行になっていること。- Compute Systems Managerを起動します。
- hcmds64chgurlコマンドを実行して,Compute Systems ManagerにアクセスするURLを次のように変更します。
ほかのHitachi Command Suite製品がCompute Systems Managerと同じマシンにインストールされている場合は,それらの製品のURLも変更してください。
- プロトコルをhttp:からhttps:に変更する。
- SSL通信用のポート番号に変更する。
管理サーバに秘密鍵と,サーバ証明書または自己署名証明書が登録され,管理サーバのSSL通信の設定が完了します。
All Rights Reserved. Copyright© 2014, 2016, Hitachi, Ltd.