付録C.2 ストレージシステムのSSL通信
ストレージシステムでは、次の図に示す記号A~D の4 つの接続経路で、SSL通信を使用します。
![[図データ]](GUID-2FAEF97E-E5B5-4DD3-8CF0-99129FBCF305-low.png)
各管理モデルで使用する接続経路と、各経路の通信用途を示します。
|
管理モデル |
記号 |
接続経路 |
通信用途 |
|---|---|---|---|
|
Hitachi Storage Advisor Embeddedを利用する |
A |
管理PCとストレージシステム間 |
maintenance utility、Hitachi Storage Advisor Embedded、および内蔵CLI の操作と、REST API へのアクセス |
|
Storage Navigatorを利用する |
B |
管理クライアントとSVP間 |
Storage Navigator の操作 |
|
C |
SVPとストレージ間 |
SVP とストレージシステムの情報交換 |
|
|
D |
管理クライアントとストレージシステム間 |
maintenance utility の操作 |
各管理モデルで使用する証明書、および証明書のアップロード先を示します。
|
管理モデル |
記号 |
使用する証明書 |
証明書のアップロード先 |
|---|---|---|---|
|
Hitachi Storage Advisor Embeddedを利用する |
A |
Webサーバ接続用証明書※1 |
ストレージシステム |
|
Storage Navigatorを利用する |
B |
管理クライアントとSVP間のSSL通信の署名付き証明書 |
SVP |
|
C |
SVP接続用証明書※1 |
ストレージシステムとSVP |
|
|
Webサーバ接続用証明書※1 |
ストレージシステムとSVP |
||
|
D |
Webサーバ接続用証明書※1 |
ストレージシステム |
- 注意
-
記号Cの通信では、SVPは中間者攻撃を防ぐため、ストレージシステムとSVPの証明書を照合して接続の妥当性を検証します。記号Cでの証明書アップロードの注意事項を示します。正しく操作しなかった場合は、SVPが正常に動作しません。
-
ストレージシステムとSVPそれぞれに、同じ証明書をアップロードする必要があります。
-
先にストレージシステムに証明書をアップロードしてから、SVPに証明書をアップロードする必要があります。
-
各管理モデルで使用する証明書用の暗号スイートを示します。
|
管理モデル |
記号 |
接続経路 |
通信用途 |
|---|---|---|---|
|
Hitachi Storage Advisor Embeddedを利用する |
A |
Webサーバ接続用証明書 |
TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA どちらの通信を使用するかは「2.5.3 暗号化スイートの選択」で設定できます。 |
|
Storage Navigatorを利用する |
B |
管理クライアントとSVP間のSSL通信の署名付き証明書 |
TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA TLS_PSK_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA TLS_PSK_WITH_AES_128_CBC_SHA |
|
C |
SVP接続用証明書 Webサーバ接続用証明書 |
TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA どちらの通信を使用するかは「2.5.3 暗号化スイートの選択」で設定できます。 |
|
|
D |
管理クライアントとストレージシステム間 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_256_GCM_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256 |