Hitachi Global Link Manager 導入・設定ガイド
5.1.3 SSL/TLSを有効にする場合のuser_httpsd.confファイルの編集
Hitachi Command Suite共通コンポーネントのSSL/TLSを有効にする場合や,管理サーバのホスト名やポート番号などを変更する場合は,user_httpsd.confファイルを編集します。
- Hitachi Command Suite共通コンポーネントの秘密鍵の作成(SSL/TLSの有効化に必要)※
- Hitachi Command Suite共通コンポーネントのサーバ証明書の準備(SSL/TLSの有効化に必要)※
認証局から返送されたサーバ証明書を準備します。暗号化通信のテストなどの目的の場合は,自己署名証明書でもかまいません。
- 注※
- 次の場所にコピーしておくことをお勧めします。
- <Hitachi Command Suite共通コンポーネントのインストールフォルダ>\uCPSB11\httpsd\conf\ssl\server
- 証明書発行要求のCommon Nameに設定したホスト名(SSL/TLSの有効化に必要)
user_httpsd.confファイルを編集するには:
- Hitachi Command Suite製品のサービスを停止します。
- user_httpsd.confファイルを編集します。
- Hitachi Command Suite製品のサービスを起動します。
- <Hitachi Command Suite共通コンポーネントのインストールフォルダ>\uCPSB11\httpsd\conf\user_httpsd.conf
- 重要
- 非クラスタ環境の場合,user_httpsd.confファイルのVirtualHostとServerNameには,user_httpsd.confファイルの先頭に記載されているServerNameと同じホスト名が入力されていることを確認してください。ホスト名を変更した場合は,VirtualHostとServerName(2か所)も変更する必要があります。クラスタ環境の場合,VirtualHostとServerNameには,cluster.confファイルのvirtualhostと同じ論理ホスト名を指定します。VirtualHostとServerNameを指定する場合は,大文字と小文字を区別する必要があります。
- この項の構成
- (1) SSL/TLSの有効化
- (2) SSLの無効化
- (3) SSLに割り当てられたポート番号の変更
SSLを有効にするには,次の手順を実行します。
同じマシンにほかのHitachi Command Suite製品がインストールされている場合,Hitachi Command Suite共通コンポーネントを起動または停止すると,ほかのHitachi Command Suite製品のサービスも一緒に起動または停止されます。ただし,ほかのHitachi
Command Suite製品のバージョンが5.7より前の場合は,手動でサービスを起動または停止する必要があります。ほかのHitachi Command Suite製品のサービスの起動および停止方法については,各製品のマニュアルを参照してください。
- 次のコマンドを実行して,Hitachi Command Suite共通コンポーネントを停止します。
<Hitachi Command Suite共通コンポーネントのインストールフォルダ>\bin\hcmds64srv /stop
- 秘密鍵ファイルと,CAから返送された署名済みの証明書ファイルまたは自己署名証明書ファイルを,適切なフォルダにコピーします。
次のフォルダにコピーすることを推奨します。
<Hitachi Command Suite共通コンポーネントのインストールフォルダ>\uCPSB11\httpsd\conf\ssl\server
- user_httpsd.confファイルを開きます。
- 対応する行の先頭にあるシャープ記号(#)を削除して,SSLポートとホスト名の設定を有効にします。
- 「SSLCertificateFile」にCAから返送された証明書ファイル,または自己署名証明書ファイルを絶対パスで指定します。
- 「SSLCertificateKeyFile」にWebサーバの秘密鍵ファイルを絶対パスで指定します。
- チェインしたCAによって発行された証明書を使用する場合,「SSLCACertificateFile」にチェインしたCAの証明書ファイルを絶対パスで指定します。
複数の証明書ファイル(PEM形式)をテキストエディターで連結させることで,1つのファイルに複数の証明書を混在させることができます。
- 次のコマンドを実行して,Hitachi Command Suite共通コンポーネントを起動します。
<Hitachi Command Suite共通コンポーネントのインストールフォルダ>\bin\hcmds64srv /start
次の図は,SSL/TLSを有効にする一例です。ここでは,CAから返送された証明書(httpsd.pem)と秘密鍵(httpsdkey.pem)が<Hitachi Command Suite共通コンポーネントのインストールディレクトリ>/uCPSB11/httpsd/conf/ssl/serverフォルダに格納されている場合を示しています。
- 参考
- シャープ記号(#)で始まる行は,コメント行です。
- 重要
- ディレクティブを編集する際は,次の点に注意してください。
-
- ディレクティブを重複して指定しないでください。
- 1つのディレクティブの途中で改行しないでください。
- 各ディレクティブに指定するパスには,シンボリックリンクやジャンクションを指定しないでください。
- 各ディレクティブに指定する証明書および秘密鍵ファイルには,PEM形式のファイルを指定してください。
- httpsd.confファイルおよびhsso_httpsd.confファイルは編集しないでください。
- 次の行頭の番号記号(#)を削除します。
- 先頭行のServerNameディレクティブと<VirtualHost>タグ内のServerNameディレクティブに,証明書発行要求のCommon Nameに設定したホスト名(クラスタ環境の場合は論理ホスト名)を指定します。大文字,小文字の区別も同じにしてください。
- SSLCertificateKeyFileディレクティブに,RSA暗号のHitachi Command Suite共通コンポーネントの秘密鍵ファイルを絶対パスで指定します。
- SSLCertificateFileディレクティブに,RSA暗号のHitachi Command Suite共通コンポーネントのサーバ証明書を絶対パスで指定します。
- SSLCertificateKeyFileディレクティブに,楕円曲線暗号のHitachi Command Suite共通コンポーネントの秘密鍵ファイルを絶対パスで指定します。RSA暗号だけを使用する場合,この設定は不要です。
- SSLCertificateFileディレクティブに,楕円曲線暗号のHitachi Command Suite共通コンポーネントのサーバ証明書を絶対パスで指定します。RSA暗号だけを使用する場合,この設定は不要です。
- Hitachi Command Suite共通コンポーネントのサーバ証明書を発行した認証局が中間認証局の場合は,SSLCACertificateFileディレクティブの行頭の番号記号(#)を削除して,すべての中間認証局の証明書を絶対パスで指定します。複数の証明書をテキストエディターで連結させることで,1つのファイルに複数の証明書を混在させることができます。
- IPv6環境の場合,#Listen [::]:22016の行頭の番号記号(#)を削除します。
- 重要
-
- SSLを有効にする場合やGlobal Link ManagerをIPv6環境で運用する場合でも,Listen 22015の行を削除したり,コメント行にしたりしないでください。
外部から管理サーバへの非SSL通信を遮断したい場合は,Listen [::]:22015とListen 22015の行頭に番号記号(#)を追記してコメント行にしたあと,#Listen 127.0.0.1:22015の行頭の番号記号を削除してください。この場合に,Hitachi File Services ManagerやStorage Navigator Modular 2と連携しているときは,Hitachi File Services ManagerまたはStorage
Navigator Modular 2のhcmdsprmsetコマンドにprintオプションを指定して実行し,出力されたホスト名から127.0.0.1への名前解決ができることを確認してください。名前解決ができなければ,OSの環境設定で名前解決ができるようにしてください。OSの環境設定でも名前解決ができなければ,hostsファイルに任意のホスト名と127.0.0.1を設定し,hcmdsprmsetコマンドのhostオプションにhostsファイルに設定したホスト名を指定して実行してください。
- Hitachi Command Suiteをバージョン8.8.2 以前からアップグレードインストールしても,user_httpsd.confファイルに楕円曲線暗号の内容は反映されません。楕円曲線暗号を使用する場合,次の場所に格納されているサンプルファイルから,SSLRequiredCiphersディレクティブ,SSLECCCertificateKeyFileディレクティブおよびSSLECCCertificateFileディレクティブの内容をコピーして使用してください。
<Hitachi Command Suite共通コンポーネントのインストールフォルダ>\sample\httpsd\conf\user_httpsd.conf
- Hitachi File Services ManagerやStorage Navigator Modular 2と連携している場合にSSL/TLSを有効にするときは,次の場所に格納されているhttpsd.confファイルも編集してください。
<Hitachi File Services ManagerまたはStorage Navigator Modular 2のインストールフォルダ>\Base\httpsd\conf\httpsd.conf
編集方法については,Hitachi File Services ManagerまたはStorage Navigator Modular 2のマニュアルを参照してください。
- 参考
- SSL/TLSを無効にするには,user_httpsd.confファイルの例(デフォルト)を参考に,Listen 22016からHWSLogSSLVerbose Onまでの行頭に番号記号(#)を追記して,コメント行にしてください。
SSLを無効にするには,user_httpsd.confファイルでSSLポートとホストの設定をコメントにします。user_httpsd.confファイルを編集する前に,ほかのHitachi Command Suite製品のサービスおよびHitachi Command Suite共通コンポーネントを停止してください。編集した後はHitachi Command Suite共通コンポーネントを起動します。
次の表は,SSLを無効にする一例です。
- 参考
- シャープ記号(#)で始まる行は,コメント行です。
表5-2 SSLの無効化
ServerName www.example.com
#Listen [::]:22015
Listen 22015
#Listen 127.0.0.1:22015
SSLEngine Off
#Listen [::]:22016
#Listen 22016
#<VirtualHost *:22016>
# ServerName www.example.com
# SSLEngine On
# SSLProtocol +TLSv1.2 +TLSv1.3
# SSLCipherSuite TLSv1.3 TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
# SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-GCM-SHA256
# SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256
# SSLCertificateKeyFile C:/Program Files/HiCommand/Base64/uCPSB11/httpsd/conf/ssl/server/httpsdkey.pem
# SSLCertificateFile C:/Program Files/HiCommand/Base64/uCPSB11/httpsd/conf/ssl/server/httpsd.pem
# SSLCertificateKeyFile C:/Program Files/HiCommand/Base64/uCPSB11/httpsd/conf/ssl/server/ecc-httpsdkey.pem
# SSLCertificateFile C:/Program Files/HiCommand/Base64/uCPSB11/httpsd/conf/ssl/server/ecc-httpsd.pem
# SSLCACertificateFile C:/Program Files/HiCommand/Base64/uCPSB11/httpsd/conf/ssl/cacert/anycert.pem
# Header set Strict-Transport-Security max-age=31536000
#</VirtualHost>
#HWSLogSSLVerbose On
|
HBase 64 Storage Mgmt Web ServiceのSSLのデフォルトポートは,22016です。ポートを変更するには,user_httpsd.confファイルでListen設定とホストのポートを変更します。user_httpsd.confファイルを編集する前に,ほかのHitachi Command Suite製品のサービスおよびHitachi Command Suite共通コンポーネントを停止してください。編集した後はHitachi Command Suite共通コンポーネントを起動します。
All Rights Reserved. Copyright© 2014, 2023, Hitachi, Ltd.