1.8 SSL通信の設定
REST APIクライアントからConfiguration Manager REST APIサーバへの通信、およびConfiguration Manager REST APIサーバからストレージシステムへの通信について説明します。
![[図データ]](GRAPHICS/F0000091.GIF)
REST APIクライアントからConfiguration Manager REST APIサーバへの通信
REST APIクライアントからConfiguration Manager REST APIサーバへのSSL通信には、Configuration Manager REST APIサーバにインストールされているサーバ証明書が使用されます。デフォルトのサーバ証明書は自己署名証明書です。よりセキュリティを高めるためには、別の自己署名証明書または認証局の署名済みの証明書を使用するように変更してください。
秘密鍵とサーバ証明書を作成するには、証明書作成用のプログラム(OpenSSLなど)が必要です。OpenSSLを使用する場合は、ホームページ( http://www.openssl.org/ )から入手して、インストールしてください。
- ヒント
-
REST APIクライアントからConfiguration Manager REST APIサーバへのSSL 通信にデフォルトのサーバ証明書を使用すると、クライアントプログラムによっては、通信がエラーになる場合があります。クライアントプログラムでエラーを回避するように作成することができます。
クライアントプログラムでエラーを回避するための方法は、プログラム言語によって異なります。
例えばPythonでは、Requestsライブラリを使用している場合、リクエスト発行時にverify=Falseを指定することでサーバ証明書の検証処理をスキップできます。
- メモ
-
REST APIクライアントとConfiguration Manager REST APIサーバ間のSSL通信には、TLSバージョン1.2が利用できます。
使用できる暗号方式(Cipher Suite)は次のとおりです。
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xC0,0x30)
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xC0,0x2F)
- TLS_RSA_WITH_AES_256_GCM_SHA384(0x00,0x9D)
- TLS_RSA_WITH_AES_128_GCM_SHA256(0x00,0x9C)
Configuration Manager REST APIサーバからストレージシステムへの通信
- ストレージシステムがVSP 5000 シリーズ、VSP E シリーズ、VSP G150、G350、G370、G700、G900、VSP F350、F370、F700、F900の場合
- Configuration Manager REST APIサーバとPlatform REST APIサーバ間で常にSSL通信が利用されます。ストレージシステムを登録すると、自動的にSSL通信が有効になります。詳細については、Configuration Manager REST APIサーバとPlatform REST APIサーバ間のSSL通信路の説明を参照してください。
- ストレージシステムがVSP G100、G200、G400、G600、G800、VSP F400、F600、F800の場合
- 管理サーバ内のRAID Managerとストレージシステム上の仮想コマンドデバイス間でSSL通信を利用できます。詳細については、Configuration Manager REST APIサーバとストレージシステム間のSSL通信路の説明を参照してください。
- ストレージシステムがVSP G1000、VSP G1500またはVSP F1500の場合
- Configuration Manager REST APIサーバと、SVPにデフォルトでインストールされている暗号化モジュール間でSSL通信を利用できます。詳細については、Configuration Manager REST API サーバとストレージシステム間のSSL通信路の説明を参照してください。
- ストレージシステムがVirtual Storage PlatformまたはUnified Storage VMの場合
- Configuration Manager REST APIサーバとストレージシステム間のSSL通信は利用できません。
ストレージシステムからConfiguration Manager REST APIサーバへの通信について説明します。
![[図データ]](GRAPHICS/F0000047.GIF)
ストレージシステムからConfiguration Manager REST APIサーバへの通信
ストレージシステムがVSP 5000 シリーズ、VSP E シリーズ、VSP Gx00 モデル、VSP G1000、VSP G1500、VSP Fx00 モデル、またはVSP F1500の場合、Configuration Manager REST APIサーバがストレージシステムの構成変更の通知を受信するときに常にSSL通信が利用されます。ストレージシステムからConfiguration Manager REST APIサーバへのSSL通信には、Configuration Manager REST APIサーバにインストールされているサーバ証明書が使用されます。デフォルトのサーバ証明書は自己署名証明書です。よりセキュリティを高めるために、認証局の署名済みの証明書を使用するように変更することもできます。
- 〈この節の構成〉
1.8.1 Configuration Manager REST API サーバとPlatform REST APIサーバ間のSSL通信路(VSP 5000 シリーズ)
1.8.4 Configuration Manager REST API サーバとストレージシステム間のSSL通信路(VSP G1000、VSP G1500またはVSP F1500)
1.8.6 REST APIクライアントとREST APIサーバ間でSSL通信するよう設定する(自己署名証明書を使用する場合)
1.8.7 REST APIクライアントとREST APIサーバ間でSSL通信するよう設定する(認証局が発行したサーバ証明書を使用する場合)
1.8.8 Configuration Manager REST API サーバとPlatform REST APIサーバ間でSSL通信するよう設定する(VSP 5000 シリーズ)
1.8.11 Configuration Manager REST APIサーバとストレージシステム間でSSL通信するよう設定する(VSP G1000、VSP G1500またはVSP F1500)
1.8.12 Configuration Manager REST APIサーバと暗号化モジュール間の通信に適用されるタイムアウト値の設定
1.8.13 Configuration Manager REST APIサーバとストレージシステム間のSSL通信に使用する証明書を変更する(構成変更の通知を受信する場合)