付録C.25　RSA鍵交換の暗号スイート

ストレージ管理ソフトウェア、SVPソフトウェア、GUMファームウェアのいずれかのバージョンがRSA鍵交換の暗号スイートを無効化する機能をサポートしていない場合、サポートバージョン以外の場合、RSA鍵交換の暗号スイートを無効化しないでください。なおストレージ管理ソフトウェアのStorage Device Listには、複数のストレージシステムを登録できるため、次に示すソフトウェアの組み合わせもあり得ます。

• ストレージ管理ソフトウェア：サポートしているバージョン

• SVPソフトウェア：サポートバージョン以外のバージョン

• GUMファームウェア：サポートバージョン以外のバージョン

上記の場合、管理クライアントとSVP間のSSL通信のみ、RSA鍵交換の暗号スイートを無効化できます。SVPとストレージシステム間は、RSA鍵交換の暗号スイートを無効化できません。この状態での運用は可能ですが、SVPとストレージシステム間もRSA鍵交換の暗号スイートを無効化したい場合は、SVPソフトウェアとGUMファームウェアもサポートバージョンに更新してください。

Storage Device ListにVSP Eシリーズを登録すると、ストレージ管理ソフトウェアのバージョンは93-で始まるバージョンに更新されます。Storage Device ListからVSP Eシリーズを削除しても、ストレージ管理ソフトウェアのバージョンは変更されません。このため、SVPのRSA鍵交換の暗号スイートを、無効化することができません。VSP Eシリーズ専用のSVPと、VSP Eシリーズ以外専用のSVPを個別に用意するか、またはRSA鍵交換の暗号スイートを無効化して使用するストレージシステム専用のSVPと、無効化しないで使用するストレージシステム専用のSVPを個別に用意してください。

RSA鍵交換の暗号スイートを無効化する場合、または有効化に戻す場合、SVPとGUMの両方に対して、無効化もしくは有効化を設定する必要があります。次に示す操作手順を参照してください。

• SVPに無効化を設定：「(1)　SVPのRSA鍵交換の暗号スイートを無効化する」

• SVPに有効化を設定：「(2)　SVPのRSA鍵交換の暗号スイートを有効化する」

• GUMに有効化/無効化を設定：「2.5.3　暗号化スイートの選択」

maintenance utilityで次のどちらかの暗号スイートを指定した場合、GUMのRSA鍵交換の暗号スイートは、自動で有効化されます。また、どちらの暗号スイートも指定しない場合、GUMのRSA鍵交換の暗号スイートは、自動で無効化されます。

• TLS_RSA_WITH_AES_128_CBC_SHA256

• TLS_RSA_WITH_AES_128_CBC_SHA

RSA鍵交換の暗号スイートを無効化した場合、次の暗号スイートを使用できます。

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

管理クライアントや各種サーバが上記の暗号スイートをサポートしていない場合、SVPと管理クライアント、SVPと各種サーバとの通信できなくなるためご注意ください。

LDAPサーバのOSがWindows Server 2008 R2の場合、RSA鍵交換の暗号スイートを無効化すると、SVPとLDAPサーバとの通信できなくなるためご注意ください。

監査ログをSyslogサーバへTLS1.2で転送する場合、およびアラート通知をSyslogサーバへTLS1.2で送付する場合、Syslogサーバ側で次の暗号スイートを使用できるように設定してください。

• TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

• TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

暗号スイートを無効化した結果、SVPとストレージシステム間の通信ができなくなった場合、ダンプファイルを採取して弊社保守員へ送付してください（「3.19.16　ダンプファイルの採取方法」を参照）。その後、暗号スイートを有効化に戻してください（「(2)　SVPのRSA鍵交換の暗号スイートを有効化する」を参照）。