Compute Systems Manager 導入・設定ガイド

5.4.2 管理サーバでSSL通信するよう設定する（管理対象サーバとの通信路）

日立製のサーバ（ブレードサーバ上のHVMも含みます）との通信でセキュリティを確保する場合は，次の手順を実行して，管理サーバの証明書または自己署名証明書と，日立製のサーバの証明書を管理サーバのキーストアーにインポートします。

事前に完了しておく操作

• 日立製のサーバの証明書の取得
  HVMを使用している場合は，HVMの証明書も取得してください。
  証明書の取得方法は，日立製のサーバのマニュアルを参照してください。
  

次の情報については，使用する認証局に確認してください。

• 証明書発行要求の要件
  hcmds64keytoolまたはkeytoolコマンドで作成される証明書発行要求はPEM形式で，秘密鍵のキーサイズが2,048ビットです。
  
• 認証局が発行するサーバ証明書の要件
  X.509 PEM形式のサーバ証明書を発行してもらう必要があります。
  また，サーバ証明書の署名アルゴリズムに，認証局が対応していることを確認してください。
  
• サーバ証明書の発行申請方法

管理サーバと日立製のサーバの間でSSL通信するためには，管理サーバで次の手順を実行してください。

1. Compute Systems Managerを停止します。
2. 次のコマンドを実行して，キーストアーを作成します。
   Windows：
   ＜Hitachi Command Suite共通コンポーネントのインストールディレクトリ＞\bin\hcmds64keytool -genkey -keystore ＜Compute Systems Managerのインストールディレクトリ＞\ComputeSystemsManager\conf\ssl\＜キーストアーファイル名＞ -storepass ＜キーストアーのパスワード＞ -keypass ＜秘密鍵のパスワード＞ -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -validity ＜証明書の有効期限日数＞ -alias ＜キーストアー内のユニーク名＞
   Linux：
   ＜Hitachi Command Suite共通コンポーネントのインストールディレクトリ＞/uCPSB/jdk/bin/keytool -genkey -keystore ＜Compute Systems Managerのインストールディレクトリ＞/ComputeSystemsManager/conf/ssl/＜キーストアーファイル名＞ -storepass ＜キーストアーのパスワード＞ -keypass ＜秘密鍵のパスワード＞ -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -validity ＜証明書の有効期限日数＞ -alias ＜キーストアー内のユニーク名＞
   
3. サーバ証明書を使用する場合は，次のコマンドを実行して，証明書発行要求を作成します。
   自己署名証明書を使用する場合，手順3～手順6は不要です。手順7に進んでください。
   Windows：
   ＜Hitachi Command Suite 共通コンポーネントのインストールディレクトリ＞\bin\hcmds64keytool -certreq -file ＜出力する証明書発行要求ファイル＞ -keystore ＜Compute Systems Managerのインストールディレクトリ＞\ComputeSystemsManager\conf\ssl\＜キーストアーファイル名＞ -storepass ＜キーストアーのパスワード＞ -keypass ＜秘密鍵のパスワード＞ -alias ＜キーストアー内のユニーク名＞
   Linux：
   ＜Hitachi Command Suite共通コンポーネントのインストールディレクトリ＞/uCPSB/jdk/bin/keytool -certreq -file ＜出力する証明書発行要求ファイル＞ -keystore ＜Compute Systems Managerのインストールディレクトリ＞/ComputeSystemsManager/conf/ssl/＜キーストアーファイル名＞ -storepass ＜キーストアーのパスワード＞ -keypass ＜秘密鍵のパスワード＞ -alias ＜キーストアー内のユニーク名＞
   alias：手順2で指定したエイリアス名を指定します。
   
4. 作成した証明書発行要求を認証局に送付し，サーバ証明書の発行を申請します。
   認証局で発行されたサーバ証明書は，通常，Eメールで送付されます。認証局からの返答，および発行されたサーバ証明書は保存しておいてください。
   
5. 次のコマンドを実行して，認証局の証明書をキーストアーにインポートします。
   Windows：
   ＜Hitachi Command Suite共通コンポーネントのインストールディレクトリ＞\bin\hcmds64keytool -import -file ＜認証局の証明書ファイル＞ -keystore ＜Compute Systems Managerのインストールディレクトリ＞\ComputeSystemsManager\conf\ssl\＜キーストアーファイル名＞ -storepass ＜キーストアーのパスワード＞ -alias ＜キーストアー内のユニーク名＞
   Linux：
   ＜Hitachi Command Suite共通コンポーネントのインストールディレクトリ＞/uCPSB/jdk/bin/keytool -import -file ＜認証局の証明書ファイル＞ -keystore ＜Compute Systems Managerのインストールディレクトリ＞/ComputeSystemsManager/conf/ssl/＜キーストアーファイル名＞ -storepass ＜キーストアーのパスワード＞ -alias ＜キーストアー内のユニーク名＞
   alias：手順2で指定した名称以外の任意のエイリアス名を指定します。
   
6. 次のコマンドを実行して，認証局で発行されたサーバ証明書をキーストアーにインポートします。
   Windows：
   ＜Hitachi Command Suite共通コンポーネントのインストールディレクトリ＞\bin\hcmds64keytool -import -file ＜サーバ証明書ファイル＞ -keystore ＜Compute Systems Managerのインストールディレクトリ＞\ComputeSystemsManager\conf\ssl\＜キーストアーファイル名＞ -storepass ＜キーストアーのパスワード＞ -alias ＜キーストアー内のユニーク名＞
   Linux：
   ＜Hitachi Command Suite共通コンポーネントのインストールディレクトリ＞/uCPSB/jdk/bin/keytool -import -file ＜サーバ証明書ファイル＞ -keystore ＜Compute Systems Managerのインストールディレクトリ＞/ComputeSystemsManager/conf/ssl/＜キーストアーファイル名＞ -storepass ＜キーストアーのパスワード＞ -alias ＜キーストアー内のユニーク名＞
   alias：手順2で指定したエイリアス名を指定します。
   
7. 次のコマンドを実行して，日立製のサーバの証明書をキーストアーにインポートします。
   HVMを使用している場合は，HVMの証明書も同様にインポートしてください。
   Windows：
   ＜Hitachi Command Suite共通コンポーネントのインストールディレクトリ＞\bin\hcmds64keytool -import -file ＜日立製のサーバの証明書ファイル＞ -keystore ＜Compute Systems Managerのインストールディレクトリ＞\ComputeSystemsManager\conf\ssl\＜キーストアーファイル名＞ -storepass ＜キーストアーのパスワード＞ -alias ＜キーストアー内のユニーク名＞
   Linux：
   ＜Hitachi Command Suite共通コンポーネントのインストールディレクトリ＞/uCPSB/jdk/bin/keytool -import -file ＜日立製のサーバの証明書ファイル＞ -keystore ＜Compute Systems Managerのインストールディレクトリ＞/ComputeSystemsManager/conf/ssl/＜キーストアーファイル名＞ -storepass ＜キーストアーのパスワード＞ -alias ＜キーストアー内のユニーク名＞
   file：PEM形式またはDER形式の証明書ファイルを指定します。
   alias：手順2または手順5で指定した名称以外の任意のエイリアス名を指定します。
   
8. 次の場所に格納されているuser.propertiesを開きます。
   Windows：
   ＜Compute Systems Managerのインストールディレクトリ＞\ComputeSystemsManager\conf\user.properties
   Linux：
   ＜Compute Systems Managerのインストールディレクトリ＞/ComputeSystemsManager/conf/user.properties
   
9. hcsm.keystore.filenameプロパティに，手順2で作成したキーストアーファイル名を設定します。
10. hcsm.certification.verifyプロパティにEnableを設定します。
    hcsm.certification.verifyプロパティが設定されていない場合は追記します。
    
11. LPARをマイグレーションする際に，管理サーバとHVMとの間で暗号化された通信だけを許可したい場合は，hvm.lpar.migration.allow.plaintextプロパティにDisableを指定します。
    hvm.lpar.migration.allow.plaintextプロパティが設定されていない場合は追記します。
    
12. Compute Systems Managerを起動します。
13. Compute Systems Managerにログインし，キーストアーおよび秘密鍵のパスワードを設定します。
    キーストアーおよび秘密鍵のパスワード設定については，マニュアル「Hitachi Command Suite Compute Systems Manager ユーザーズガイド」を参照してください。
    

参考

日立製のサーバとの通信で使用するCompute Systems Managerのサーバ証明書をキーストアーから取得する場合は，次のコマンドを実行します。

Windows：

＜Hitachi Command Suite共通コンポーネントのインストールディレクトリ＞\bin\hcmds64keytool -exportcert -file ＜出力する証明書ファイル＞ -keystore ＜Compute Systems Managerのインストールディレクトリ＞\ComputeSystemsManager\conf\ssl\＜キーストアーファイル名＞ -storepass ＜キーストアーのパスワード＞ -alias ＜キーストアー内のユニーク名＞

Linux：

＜Hitachi Command Suite共通コンポーネントのインストールディレクトリ＞/uCPSB/jdk/bin/keytool -exportcert -file ＜出力する証明書ファイル＞ -keystore ＜Compute Systems Managerのインストールディレクトリ＞/ComputeSystemsManager/conf/ssl/＜キーストアーファイル名＞ -storepass ＜キーストアーのパスワード＞ -alias ＜キーストアー内のユニーク名＞

alias：手順2で指定したエイリアス名を指定します。

関連項目

• 5.4.1 管理対象サーバとの通信のセキュリティ設定とは
• 5.8 サーバ証明書の有効期限を確認する
• 8.1.2 Compute Systems Managerを起動する
• 8.1.3 Compute Systems Managerを停止する
• B.1.3 Compute Systems Managerサーバのポートや機能に関するプロパティ（user.properties）

[目次] [前へ] [次へ]

All Rights Reserved. Copyright© 2014, 2016, Hitachi, Ltd.