付録C.25 RSA鍵交換の暗号スイート
背景
鍵交換の方式が、RSA鍵交換の暗号スイートを使用していない場合、RSA鍵交換の暗号スイートを無効化できます。なお、VSP Eシリーズの場合、RSA鍵交換の暗号スイートを無効化する機能は未サポートです。
操作手順
SVPの設定手順は次の項を参照。
GUMの設定手順は次の項を参照。
サポートバージョン
次に示すバージョンのソフトウェアが必要です(93-で始まるバージョンは対象外)。
-
ストレージ管理ソフトウェアのバージョン:88-07-02-XX/XX以降
-
SVPソフトウェアのバージョン:88-07-02-XX/XX以降
-
GUMファームウェアのバージョン:88-07-02/XX以降
- 注意
-
-
ストレージ管理ソフトウェア、SVPソフトウェア、GUMファームウェアのいずれかのバージョンがRSA鍵交換の暗号スイートを無効化する機能をサポートしていない場合、サポートバージョン以外の場合、RSA鍵交換の暗号スイートを無効化しないでください。なおストレージ管理ソフトウェアのStorage Device Listには、複数のストレージシステムを登録できるため、次に示すソフトウェアの組み合わせもあり得ます。
-
ストレージ管理ソフトウェア:サポートしているバージョン
-
SVPソフトウェア:サポートバージョン以外のバージョン
-
GUMファームウェア:サポートバージョン以外のバージョン
上記の場合、管理クライアントとSVP間のSSL通信のみ、RSA鍵交換の暗号スイートを無効化できます。SVPとストレージシステム間は、RSA鍵交換の暗号スイートを無効化できません。この状態での運用は可能ですが、SVPとストレージシステム間もRSA鍵交換の暗号スイートを無効化したい場合は、SVPソフトウェアとGUMファームウェアもサポートバージョンに更新してください。
-
-
Storage Device ListにVSP Eシリーズを登録すると、ストレージ管理ソフトウェアのバージョンは93-で始まるバージョンに更新されます。Storage Device ListからVSP Eシリーズを削除しても、ストレージ管理ソフトウェアのバージョンは変更されません。このため、SVPのRSA鍵交換の暗号スイートを、無効化することができません。VSP Eシリーズ専用のSVPと、VSP Eシリーズ以外専用のSVPを個別に用意するか、またはRSA鍵交換の暗号スイートを無効化して使用するストレージシステム専用のSVPと、無効化しないで使用するストレージシステム専用のSVPを個別に用意してください。
-
RSA鍵交換の暗号スイートを無効化する場合、または有効化に戻す場合、SVPとGUMの両方に対して、無効化もしくは有効化を設定する必要があります。次に示す操作手順を参照してください。
-
SVPに無効化を設定:「(1) SVPのRSA鍵交換の暗号スイートを無効化する」
-
SVPに有効化を設定:「(2) SVPのRSA鍵交換の暗号スイートを有効化する」
-
GUMに有効化/無効化を設定:「2.5.3 暗号化スイートの選択」
-
-
maintenance utilityで次のどちらかの暗号スイートを指定した場合、GUMのRSA鍵交換の暗号スイートは、自動で有効化されます。また、どちらの暗号スイートも指定しない場合、GUMのRSA鍵交換の暗号スイートは、自動で無効化されます。
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA
-
-
RSA鍵交換の暗号スイートを無効化した場合、次の暗号スイートを使用できます。
-
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
-
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
管理クライアントや各種サーバが上記の暗号スイートをサポートしていない場合、SVPと管理クライアント、SVPと各種サーバとの通信できなくなるためご注意ください。
-
-
LDAPサーバのOSがWindows Server 2008 R2の場合、RSA鍵交換の暗号スイートを無効化すると、SVPとLDAPサーバとの通信できなくなるためご注意ください。
-
監査ログをSyslogサーバへTLS1.2で転送する場合、およびアラート通知をSyslogサーバへTLS1.2で送付する場合、Syslogサーバ側で次の暗号スイートを使用できるように設定してください。
-
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
-
-
暗号スイートを無効化した結果、SVPとストレージシステム間の通信ができなくなった場合、ダンプファイルを採取して弊社保守員へ送付してください(「3.19.16 ダンプファイルの採取方法」を参照)。その後、暗号スイートを有効化に戻してください(「(2) SVPのRSA鍵交換の暗号スイートを有効化する」を参照)。
-
(1) SVPのRSA鍵交換の暗号スイートを無効化する
背景
RSA鍵交換の暗号スイートを無効に設定します。
操作手順
-
SVPでWindowsのコマンドプロンプトを管理者権限で起動します。
-
カレントディレクトリをツールが存在するディレクトリに移動し、次のコマンドを実行します。
cd /d C:\Mapp\wk\Supervisor\MappIniSet MappRSAKeyExchangeDisable.bat
- ヒント
-
C:\Mapp:ストレージ管理ソフトウェア、およびSVPソフトウェアのインストールディレクトリを示します。
「C:\Mapp」以外をインストールディレクトリに指定した場合は、「C:\Mapp」を、指定のインストールディレクトリに置き換えてください。
- メモ
-
-
コマンドの実行時間は5分程度です。コマンドプロンプトにメッセージが表示されるまで、画面を閉じないでください。
-
コマンドの実行により、Storage Device Listに登録されているストレージシステムのサービスが再起動されます。再起動は装置アイコンの[Starting Service]が "Auto" の状態のストレージシステムが対象となります。”Manual” の状態のストレージシステムのサービスが起動した状態でコマンドを実行した場合、サービスは停止した状態になります。サービスを開始してください。また、”Auto” の状態のストレージシステムのサービスが停止した状態でコマンドを実行した場合、サービスは開始状態になります。
なお、再起動中に”21041-006005”のメッセージが表示されることがあります。[閉じる]を押してサービスの起動をお待ちください。
-
-
画面に「Press any key to continue…」が表示されます。Enterキーを押してください。
-
RSA鍵交換の暗号スイートが無効化されたか確認します。
MappRSAKeyExchangeState.bat
「RSAKeyExchangeStatus=Disable」のメッセージが表示された場合、RSA鍵交換の暗号スイートは無効化されています。Enter キーを押してください。
「RSAKeyExchangeStatus=Enable」のメッセージが表示された場合、RSA鍵交換の暗号スイートは無効化されていません。Enter キーを押して、操作手順2.からやり直してください。
-
コマンドプロンプトを閉じます。
- 注意
-
SVPのRSA鍵交換の暗号スイートを無効化した場合、必ずGUMの鍵交換の暗号スイートも未使用に設定してください(「2.5.3 暗号化スイートの選択」で「TLS_RSA_WITH_AES_128_CBC_SHA256とTLS_RSA_WITH_AES_128_CBC_SHAのどちらも未使用」を選択)。
(2) SVPのRSA鍵交換の暗号スイートを有効化する
背景
RSA鍵交換の暗号スイートを有効に設定します。
操作手順
-
SVPでWindowsのコマンドプロンプトを管理者権限で起動します。
-
カレントディレクトリをツールが存在するディレクトリに移動し、次のコマンドを実行します。
cd /d C:\Mapp\wk\Supervisor\MappIniSet MappRSAKeyExchangeEnable.bat
- ヒント
-
C:\Mapp:ストレージ管理ソフトウェア、およびSVPソフトウェアのインストールディレクトリを示します。
「C:\Mapp」以外をインストールディレクトリに指定した場合は、「C:\Mapp」を、指定のインストールディレクトリに置き換えてください。
- メモ
-
-
コマンドの実行時間は5分程度です。コマンドプロンプトにメッセージが表示されるまで、画面を閉じないでください。
-
コマンドの実行により、Storage Device Listに登録されているストレージシステムのサービスが再起動されます。再起動は装置アイコンの[Starting Service]が "Auto" の状態のストレージシステムが対象となります。”Manual” の状態のストレージシステムのサービスが起動した状態でコマンドを実行した場合、サービスは停止した状態になります。サービスを開始してください。また、”Auto” の状態のストレージシステムのサービスが停止した状態でコマンドを実行した場合、サービスは開始状態になります。
なお、再起動中に”21041-006005”のメッセージが表示されることがあります。[閉じる]を押してサービスの起動をお待ちください。
-
-
画面に「Press any key to continue…」が表示されます。Enterキーを押してください。
-
RSA鍵交換の暗号スイートが有効化されたか確認します。
MappRSAKeyExchangeState.bat
「RSAKeyExchangeStatus=Enable」のメッセージが表示された場合、RSA鍵交換の暗号スイートは有効化されています。Enter キーを押してください。
「RSAKeyExchangeStatus=Disable」のメッセージが表示された場合、RSA鍵交換の暗号スイートは有効化されていません。Enter キーを押して、操作手順2.からやり直してください。
-
コマンドプロンプトを閉じます。
- 注意
-
SVPのRSA鍵交換の暗号スイートを有効化した場合、必ずGUMの鍵交換の暗号スイートも選択してください(「2.5.3 暗号化スイートの選択」で「TLS_RSA_WITH_AES_128_CBC_SHA256」または「TLS_RSA_WITH_AES_128_CBC_SHA」のどちらかを選択)。