5.1.3 SSL/TLSを有効にする場合のuser_httpsd.confファイルの編集

SSLを有効にするには，次の手順を実行します。

同じマシンにほかのHitachi Command Suite製品がインストールされている場合，Hitachi Command Suite共通コンポーネントを起動または停止すると，ほかのHitachi Command Suite製品のサービスも一緒に起動または停止されます。ただし，ほかのHitachi Command Suite製品のバージョンが5.7より前の場合は，手動でサービスを起動または停止する必要があります。ほかのHitachi Command Suite製品のサービスの起動および停止方法については，各製品のマニュアルを参照してください。

1. 次のコマンドを実行して，Hitachi Command Suite共通コンポーネントを停止します。
   

   ＜Hitachi Command Suite共通コンポーネントのインストールフォルダ＞\bin\hcmds64srv /stop

2. 秘密鍵ファイルと，CAから返送された署名済みの証明書ファイルまたは自己署名証明書ファイルを，適切なフォルダにコピーします。
   次のフォルダにコピーすることを推奨します。
   

   ＜Hitachi Command Suite共通コンポーネントのインストールフォルダ＞\uCPSB11\httpsd\conf\ssl\server

3. user_httpsd.confファイルを開きます。
4. 対応する行の先頭にあるシャープ記号（#）を削除して，SSLポートとホスト名の設定を有効にします。
5. 「SSLCertificateFile」にCAから返送された証明書ファイル，または自己署名証明書ファイルを絶対パスで指定します。
6. 「SSLCertificateKeyFile」にWebサーバの秘密鍵ファイルを絶対パスで指定します。
7. チェインしたCAによって発行された証明書を使用する場合，「SSLCACertificateFile」にチェインしたCAの証明書ファイルを絶対パスで指定します。
   複数の証明書ファイル（PEM形式）をテキストエディターで連結させることで，1つのファイルに複数の証明書を混在させることができます。
   
8. 次のコマンドを実行して，Hitachi Command Suite共通コンポーネントを起動します。
   

   ＜Hitachi Command Suite共通コンポーネントのインストールフォルダ＞\bin\hcmds64srv /start

次の図は，SSL/TLSを有効にする一例です。ここでは，CAから返送された証明書（httpsd.pem）と秘密鍵（httpsdkey.pem）が＜Hitachi Command Suite共通コンポーネントのインストールディレクトリ＞/uCPSB11/httpsd/conf/ssl/serverフォルダに格納されている場合を示しています。

参考

シャープ記号（#）で始まる行は，コメント行です。

SSL/TLSの有効化に必要な設定

重要

ディレクティブを編集する際は，次の点に注意してください。

• ディレクティブを重複して指定しないでください。
• 1つのディレクティブの途中で改行しないでください。
• 各ディレクティブに指定するパスには，シンボリックリンクやジャンクションを指定しないでください。
• 各ディレクティブに指定する証明書および秘密鍵ファイルには，PEM形式のファイルを指定してください。
• httpsd.confファイルおよびhsso_httpsd.confファイルは編集しないでください。

• 次の行頭の番号記号（#）を削除します。
  

  

• 先頭行のServerNameディレクティブと<VirtualHost>タグ内のServerNameディレクティブに，証明書発行要求のCommon Nameに設定したホスト名（クラスタ環境の場合は論理ホスト名）を指定します。大文字，小文字の区別も同じにしてください。
• SSLCertificateKeyFileディレクティブに，RSA暗号のHitachi Command Suite共通コンポーネントの秘密鍵ファイルを絶対パスで指定します。
• SSLCertificateFileディレクティブに，RSA暗号のHitachi Command Suite共通コンポーネントのサーバ証明書を絶対パスで指定します。
• SSLCertificateKeyFileディレクティブに，楕円曲線暗号のHitachi Command Suite共通コンポーネントの秘密鍵ファイルを絶対パスで指定します。RSA暗号だけを使用する場合，この設定は不要です。
• SSLCertificateFileディレクティブに，楕円曲線暗号のHitachi Command Suite共通コンポーネントのサーバ証明書を絶対パスで指定します。RSA暗号だけを使用する場合，この設定は不要です。
• Hitachi Command Suite共通コンポーネントのサーバ証明書を発行した認証局が中間認証局の場合は，SSLCACertificateFileディレクティブの行頭の番号記号（#）を削除して，すべての中間認証局の証明書を絶対パスで指定します。複数の証明書をテキストエディターで連結させることで，1つのファイルに複数の証明書を混在させることができます。
• IPv6環境の場合，#Listen [::]:22016の行頭の番号記号（#）を削除します。

重要

• SSLを有効にする場合やGlobal Link ManagerをIPv6環境で運用する場合でも，Listen 22015の行を削除したり，コメント行にしたりしないでください。
  外部から管理サーバへの非SSL通信を遮断したい場合は，Listen [::]:22015とListen 22015の行頭に番号記号（#）を追記してコメント行にしたあと，#Listen 127.0.0.1:22015の行頭の番号記号を削除してください。この場合に，Hitachi File Services ManagerやStorage Navigator Modular 2と連携しているときは，Hitachi File Services ManagerまたはStorage Navigator Modular 2のhcmdsprmsetコマンドにprintオプションを指定して実行し，出力されたホスト名から127.0.0.1への名前解決ができることを確認してください。名前解決ができなければ，OSの環境設定で名前解決ができるようにしてください。OSの環境設定でも名前解決ができなければ，hostsファイルに任意のホスト名と127.0.0.1を設定し，hcmdsprmsetコマンドのhostオプションにhostsファイルに設定したホスト名を指定して実行してください。
  
• Hitachi Command Suiteをバージョン8.8.2 以前からアップグレードインストールしても，user_httpsd.confファイルに楕円曲線暗号の内容は反映されません。楕円曲線暗号を使用する場合，次の場所に格納されているサンプルファイルから，SSLRequiredCiphersディレクティブ，SSLECCCertificateKeyFileディレクティブおよびSSLECCCertificateFileディレクティブの内容をコピーして使用してください。
  ＜Hitachi Command Suite共通コンポーネントのインストールフォルダ＞\sample\httpsd\conf\user_httpsd.conf
  
• Hitachi File Services ManagerやStorage Navigator Modular 2と連携している場合にSSL/TLSを有効にするときは，次の場所に格納されているhttpsd.confファイルも編集してください。
  ＜Hitachi File Services ManagerまたはStorage Navigator Modular 2のインストールフォルダ＞\Base\httpsd\conf\httpsd.conf
  編集方法については，Hitachi File Services ManagerまたはStorage Navigator Modular 2のマニュアルを参照してください。
  

参考

SSL/TLSを無効にするには，user_httpsd.confファイルの例（デフォルト）を参考に，Listen 22016からHWSLogSSLVerbose Onまでの行頭に番号記号（#）を追記して，コメント行にしてください。

SSLを無効にするには，user_httpsd.confファイルでSSLポートとホストの設定をコメントにします。user_httpsd.confファイルを編集する前に，ほかのHitachi Command Suite製品のサービスおよびHitachi Command Suite共通コンポーネントを停止してください。編集した後はHitachi Command Suite共通コンポーネントを起動します。

次の表は，SSLを無効にする一例です。

参考

シャープ記号（#）で始まる行は，コメント行です。

表5-2 SSLの無効化

ServerName www.example.com
#Listen [::]:22015
Listen 22015
#Listen 127.0.0.1:22015
SSLEngine Off
#Listen [::]:22016
#Listen 22016
#<VirtualHost *:22016>
#  ServerName www.example.com
#  SSLEngine On
#  SSLProtocol +TLSv1.2 +TLSv1.3
#  SSLCipherSuite TLSv1.3 TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#  SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-GCM-SHA256
#  SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256
#  SSLCertificateKeyFile C:/Program Files/HiCommand/Base64/uCPSB11/httpsd/conf/ssl/server/httpsdkey.pem
#  SSLCertificateFile C:/Program Files/HiCommand/Base64/uCPSB11/httpsd/conf/ssl/server/httpsd.pem
#  SSLCertificateKeyFile C:/Program Files/HiCommand/Base64/uCPSB11/httpsd/conf/ssl/server/ecc-httpsdkey.pem
#  SSLCertificateFile C:/Program Files/HiCommand/Base64/uCPSB11/httpsd/conf/ssl/server/ecc-httpsd.pem
#  SSLCACertificateFile C:/Program Files/HiCommand/Base64/uCPSB11/httpsd/conf/ssl/cacert/anycert.pem
#  Header set Strict-Transport-Security max-age=31536000
#</VirtualHost>
#HWSLogSSLVerbose On

HBase 64 Storage Mgmt Web ServiceのSSLのデフォルトポートは，22016です。ポートを変更するには，user_httpsd.confファイルでListen設定とホストのポートを変更します。user_httpsd.confファイルを編集する前に，ほかのHitachi Command Suite製品のサービスおよびHitachi Command Suite共通コンポーネントを停止してください。編集した後はHitachi Command Suite共通コンポーネントを起動します。