3.3.4 Storage NavigatorでのSSL通信
Storage Navigatorからストレージシステムをよりセキュアに遠隔操作するためには、SSL通信を構築します。SSL通信を構築すると、Storage Navigatorへのログインに必要なユーザ名とパスワードが暗号化され、通信のセキュリティをより高めることができます。
Storage Navigator動作PCとSVP間の通信では、次のプロトコルおよびポート番号の通信においてSSL通信が利用できます。
プロトコル |
ポート番号 |
---|---|
HTTPS |
443 |
RMI |
11099 |
RMI |
51100 |
SMI-S※ |
5989 |
HTTPS(raidinf) |
5443 |
注※
SMI-Sの設定方法は、システム管理者ガイドの「SMI-Sプロバイダへ署名付き証明書をアップロードする」を参照してください。
また、次のサーバを使用する場合、これらのサーバとSVP間においても、SSL通信が利用できます。
-
鍵管理サーバ
-
外部認証/認可サーバ
-
Hitachi Command Suiteサーバ
- 注意
-
-
SSLを有効にするには、鍵ペア(秘密鍵と公開鍵のペア)とSVPのサーバ証明書の有効期限が切れていないことを確認してください。どちらか1つでも有効期限が切れていると、ユーザはSVPに接続できなくなります。
-
X.509証明書の拡張プロファイルのフィールドは、RFC5280に規定される「基本制限(BasicConstraints)」、「キー使用法(KeyUsage)」、「サブジェクトキー識別子(SubjectKeyIdentifier)」、「主体者別名(subjectAltName)」をサポートしています。
- Storage NavigatorがCookieにSecure属性を付与するためには、HTTP通信をブロックする必要があります。
「3.3.22 SVPへのHTTP通信をブロックする」を参照し、HTTP通信をブロックしてください。
-
Storage NavigatorはHTTP Strict Transport Securityをサポートしています。
-
Strict-Transport-Security: max-age=31536000
HTTP Strict Transport Securityを使用するためには、信頼されたルート証明機関から、ご使用のStorage Navigatorのドメイン用に発行されたセキュリティ証明書を用いる必要があります。
HTTP Strict Transport Securityの有効化期限は1年間(31536000秒)で、HTTP Strict Transport Securityヘッダがブラウザに送られるたび、その有効期限は更新されます。
なお、どのような証明書を使用するかはブラウザに依存するため、ご使用のブラウザのベンダにお問い合わせください。
-
-
Storage NavigatorをほかのWEBアプリケーションがインストールされたサーバにインストールし、HTTP Strict Transport Securityを有効にした場合、セキュリティ証明書に記載するドメインはそれぞれ固有のものを使用してください。もし同一のものを使用した場合、HTTP Strict Transport Security設定がそのドメインを使用するすべてのWEBアプリケーションに適用され、すべての接続がhttpsに置き換えられます。httpだけでアクセス可能なWEBアプリケーションが存在する場合、接続できなくなりますので、ご注意ください。
-