付録C.2 ストレージシステムのSSL通信
ストレージシステムでは、次の図に示す記号A~D の4 つの接続経路で、SSL通信を使用します。
SSL通信で使用する暗号プロトコルはTLSバージョン1.2です。
SSL通信で使用する、RSA鍵交換の暗号スイートのデフォルト設定は有効です。
各管理モデルで使用する接続経路と、各経路の通信用途を示します。
管理モデル
|
記号
|
接続経路
|
通信用途
|
Hitachi Storage Advisor Embeddedを利用する
|
A
|
管理PCとストレージシステム間
|
maintenance utility、Hitachi Storage Advisor
Embedded、および内蔵CLI の操作と、REST API へのアクセス
|
Storage Navigatorを利用する
|
B
|
管理クライアントとSVP間
|
Storage Navigator の操作
|
C
|
SVPとストレージ間
|
SVP とストレージシステムの情報交換
|
D
|
管理クライアントとストレージシステム間
|
maintenance utility の操作 |
各管理モデルで使用する証明書、および証明書のアップロード先を示します。
管理モデル
|
記号
|
使用する証明書
|
証明書のアップロード先
|
Hitachi Storage Advisor Embeddedを利用する
|
A
|
Webサーバ接続用証明書※1
|
ストレージシステム
|
Storage Navigatorを利用する
|
B
|
管理クライアントとSVP間のSSL通信の署名付き証明書
|
SVP
|
C
|
SVP接続用証明書※1
|
ストレージシステムとSVP
|
Webサーバ接続用証明書※1
|
ストレージシステムとSVP
|
D
|
Webサーバ接続用証明書※1
|
ストレージシステム |
※1: SVP接続用証明書とWebサーバ接続用証明書には同じ証明書を使用できます。
- 注意
-
記号Cの通信では、SVPは中間者攻撃を防ぐため、ストレージシステムとSVPの証明書を照合して接続の妥当性を検証します。記号Cでの証明書アップロードの注意事項を示します。正しく操作しなかった場合は、SVPが正常に動作しません。
各管理モデルで使用する証明書用の暗号スイートを示します。
管理モデル
|
記号
|
接続経路
|
暗号スイート
|
Hitachi Storage Advisor Embeddedを利用する
|
A
|
管理PCとストレージシステム間
|
-
VSP Eシリーズ、またはGUMのファームウェアバージョンが88-07-02/XX未満の場合、次のいずれかの暗号スイートを使用できます。
-
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
-
TLS_RSA_WITH_AES_256_GCM_SHA384
-
TLS_RSA_WITH_AES_256_GCM_SHA256
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_AES_128_GCM_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
VSP Eシリーズ以外、かつGUMのファームウェアバージョンが88-07-02/XX以降の場合、暗号スイートをmaintenance
utilityで選択できます(「2.5.3 暗号化スイートの選択」参照)。
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA
-
TLS_RSA_WITH_AES_128_CBC_SHA256とTLS_RSA_WITH_AES_128_CBC_SHAのどちらも未使用
-
TLS_RSA_WITH_AES_128_CBC_SHA256、またはTLS_RSA_WITH_AES_128_CBC_SHAのどちらかの暗号スイートを選択している場合、次の暗号スイートを使用できます。
-
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
-
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
-
TLS_RSA_WITH_AES_256_GCM_SHA384
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_AES_128_GCM_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA、およびTLS_RSA_WITH_AES_128_CBC_SHA256のどちらも選択していない場合、次の暗号スイートを使用できます。
-
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
-
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
|
Storage Navigatorを利用する
|
B
|
管理クライアントとSVP間
|
-
VSP Eシリーズ、ストレージ管理ソフトウェアのバージョンが88-07-02-XX/XX未満の場合、次のいずれかの暗号スイートを使用できます。
-
TLS_RSA_WITH_AES_256_GCM_SHA384
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_AES_256_CBC_SHA
-
TLS_PSK_WITH_AES_256_CBC_SHA
-
TLS_RSA_WITH_AES_128_GCM_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA
-
TLS_PSK_WITH_AES_128_CBC_SHA
-
VSP Eシリーズ以外、またはストレージ管理ソフトウェアのバージョンが88-07-02-XX/XX以降、かつRSA鍵交換の暗号スイートが有効の場合(デフォルトは有効)、次のいずれかの暗号スイートを使用できます(有効/無効の切り替えは「付録C.25 RSA鍵交換の暗号スイート」参照)。
-
TLS_RSA_WITH_AES_256_GCM_SHA384
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_AES_256_CBC_SHA
-
TLS_RSA_WITH_AES_128_GCM_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA
-
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
-
VSP Eシリーズ以外、またはストレージ管理ソフトウェアのバージョンが88-07-02-XX/XX以降、かつRSA鍵交換の暗号スイートが無効の場合(デフォルトは有効)、次のいずれかの暗号スイートを使用できます(有効/無効の設定方法は「付録C.25 RSA鍵交換の暗号スイート」を参照)。
-
TLS_ECDHE_RSA_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_AES_128_GCM_SHA256
-
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
|
C
|
SVPとストレージシステム間
|
-
VSP Eシリーズ、またはGUMのファームウェアバージョンが88-07-02/XX未満の場合、次の暗号スイートをmaintenance
utilityで選択できます(「2.5.3 暗号化スイートの選択」参照)。
-
VSP Eシリーズ以外、かつGUMのファームウェアバージョンが88-07-02/XX以降の場合、次の暗号スイートをmaintenance
utilityで選択できます(「2.5.3 暗号化スイートの選択」参照)。
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256と
TLS_RSA_WITH_AES_128_CBC_SHAのどちらも未使用
なお、上記の選択にかかわらず、次の暗号スイートを使用できます。
-
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
-
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
|
D
|
管理クライアントとストレージシステム間
|
-
VSP Eシリーズ、またはGUMのファームウェアバージョンが88-07-02/XX未満の場合、次のいずれかの暗号スイートを使用できます。
-
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
-
TLS_RSA_WITH_AES_256_GCM_SHA384
-
TLS_RSA_WITH_AES_256_GCM_SHA256
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_AES_128_GCM_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
VSP Eシリーズ以外、かつGUMのファームウェアバージョンが88-07-02/XX以降の場合、暗号スイートをmaintenance
utilityで選択できます(「2.5.3 暗号化スイートの選択」参照)。
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA
-
TLS_RSA_WITH_AES_128_CBC_SHA256とTLS_RSA_WITH_AES_128_CBC_SHAのどちらも未使用
-
TLS_RSA_WITH_AES_128_CBC_SHA256、またはTLS_RSA_WITH_AES_128_CBC_SHAのどちらかの暗号スイートを選択している場合、次の暗号スイートを使用できます。
-
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
-
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
-
TLS_RSA_WITH_AES_256_GCM_SHA384
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_RSA_WITH_AES_128_GCM_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA、およびTLS_RSA_WITH_AES_128_CBC_SHA256のどちらも選択していない場合、次の暗号スイートを使用できます。
-
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
-
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
|
ページの先頭へ