付録E HTTPS通信

ここでは、本製品で使用するHTTPS通信のセキュリティについて説明します。

本製品は、以下の図で示された3か所でHTTPS通信を行っており、通信データの暗号化と相互認証のために証明書を利用します。

図E.1 HTTPS通信

管理クライアント - 管理サーバ間、HBA address rename設定サービス用サーバ - 管理サーバ間
管理クライアントとHBA address rename設定サービス用サーバは、管理サーバに接続するたびに管理サーバ上の証明書を自動的に取得し、通信データの暗号化処理に利用します。
管理サーバ - 管理対象サーバ間(エージェント通信用)
管理サーバと管理対象サーバでは、本製品のインストール時にそれぞれの証明書が作成されます。また、以下の証明書保存契機に通信相手の証明書を取得したあと保存しています。保存した証明書は、相互認証を用いたHTTPS通信を行うために利用されます。
マネージャを再インストールした場合は、エージェントに保存されている証明書とは異なる新たな証明書が作成されるため、通信ができなくなります。再インストールを行う場合は、「ServerView Resource Coordinator VE インストールガイド」の「3.1 マネージャのアンインストール」を参照して証明書をバックアップし、「2.1 マネージャのインストール」で再設定してください。
管理サーバ - 管理対象サーバ間(VMホスト通信用)、管理サーバ - VM管理製品間【VMware】
管理サーバは、管理対象サーバ(VMホスト)またはVM管理製品の接続ごとに、証明書を自動的に取得し、通信データの暗号化処理に利用します。

証明書保存契機

管理クライアント-管理サーバ間、HBA address rename設定サービス用サーバ - 管理サーバ間通信用: HTTPS通信で利用する証明書は、接続するたびに管理サーバ上の証明書を自動的に取得するため、保存されません。

管理サーバ - 管理対象サーバ間(エージェント通信用)

HTTPS通信で利用する証明書は、以下の契機でマネージャとエージェント上に自動的に保存されます。

管理対象サーバの登録時
エージェントを再インストールして起動した直後

管理サーバ - 管理対象サーバ間(VMホスト通信用)、管理サーバ - VM管理製品間【VMware】: HTTPS通信で利用する証明書は、接続するたびに証明書を自動的に取得するため、保存されません。

証明書の種類

本製品は、以下の証明書を利用しています。

管理クライアント-管理サーバ間、HBA address rename設定サービス用サーバ - 管理サーバ間通信用: X.509に準拠したRSA暗号で作成された公開鍵を含む証明書を利用しています。鍵のサイズは1024ビットです。

管理サーバ - 管理対象サーバ間(エージェント通信用): X.509に準拠したRSA暗号で作成された公開鍵を含む証明書を利用しています。鍵のサイズは2048ビットです。

管理サーバ - 管理対象サーバ間(VMホスト通信用)、管理サーバ - VM管理製品間【VMware】: X.509に準拠したRSA暗号で作成された公開鍵を含む証明書を利用しています。鍵のサイズは1024ビットです。

Webブラウザへの証明書のインストール

本製品では、マネージャをインストールする際に、管理サーバごとに異なる自己署名証明書を自動的に作成し、HTTPS通信で利用しています。
ファイアウォールによって保護されたイントラネットなど、なりすましの危険性がない、通信相手が信頼できるネットワークでは、自己署名証明書を利用しても問題ありませんが、Webブラウザでは、インターネットでの利用を想定した以下の警告が表示されます。

接続時の警告画面
Webブラウザを起動したあと、最初に接続を行う際に、セキュリティ証明書に関する警告画面が表示されます。
Internet Explorer 7または8のアドレスバーのエラーと、フィッシング詐欺検出機能の警告
ログイン画面、RCコンソール、ブレードビューアでアドレスバーの背景が赤くなり、アドレスバーの右側に"証明書のエラー"と表示されます。
また、ステータスバーにフィッシング詐欺検出機能の警告アイコンが表示されます。

接続時の警告画面とInternet Explorer 7または8のアドレスバーのエラーを消すためには、URLに指定する管理サーバのIPアドレス、またはホスト名(FQDN)に対応した証明書を作成し、Webブラウザにインストールする必要があります。
マネージャのインストール時には、"localhost"に対する証明書が作成されています。
管理サーバとは別のサーバを管理クライアントとする場合は、以下の手順で証明書をインストールしてください。
管理サーバと管理クライアントを兼用する場合は、証明書の作成は必要ありません。URLにlocalhostを指定して、以下の手順2.だけ行ってください。

証明書の作成

本製品の管理サーバでコマンドプロンプトを開きます。
以下のコマンドを実行し、インストールフォルダに移動します。
【Windows】
>cd "インストールフォルダ\Manager\sys\apache\conf" <RETURN>
【Linux】
# cd /etc/opt/FJSVrcvmr/sys/apache/conf <RETURN>

現在の証明書をバックアップしたあと、本製品に添付の証明書作成コマンド(openssl.exe)を実行します。

-daysオプションには、コマンドを実行する日から数えて、有効期限が2038年1月19日を超えない範囲で、本製品の使用が予想される期間よりも十分に長い日数を指定してください。

例

マネージャをC:\Program Files\Resource Coordinator VEにインストールし、有効期間15年(-day 5479)を指定した場合

【Windows】

>cd "C:\Program Files\Resource Coordinator VE\Manager\sys\apache\conf" <RETURN>
>..\..\..\bin\rcxadm mgrctl stop <RETURN>
>copy ssl.crt\server.crt ssl.crt\server.crt.org <RETURN>
>copy ssl.key\server.key ssl.key\server.key.org <RETURN>
>..\bin\openssl.exe req -new -x509 -nodes -out ssl.crt\server.crt -keyout ssl.key\server.key -days 5479 -config openssl.cnf <RETURN>
Loading 'screen' into random state - done
Generating a 1024 bit RSA private key
.................++++++
................................++++++
writing new private key to 'ssl.key\server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []: <RETURN>
State or Province Name (full name) []: <RETURN>
Locality Name (eg, city) [Kawasaki]: <RETURN>
Organization Name (eg, company) []: <RETURN>
Organizational Unit Name (eg, section) []: <RETURN>
Common Name (eg, YOUR name) [localhost]: IPアドレスまたはホスト名 (*1) <RETURN>
Email Address []: <RETURN>

>..\..\..\bin\rcxadm.exe mgrctl start <RETURN>

【Linux】

# cd /etc/opt/FJSVrcvmr/sys/apache/conf <RETURN>
# /opt/FJSVrcvmr/bin/rcxadm mgrctl stop <RETURN>
# cp ssl.crt/server.crt ssl.crt/server.crt.org <RETURN>
# cp ssl.key/server.key ssl.key/server.key.org <RETURN>
# /opt/FJSVrcvmr/sys/apache/bin/openssl req -new -x509 -nodes -out ssl.crt/server.crt -keyout ssl.key/server.key -days 5479 -config ../ssl/openssl.cnf <RETURN>
Generating a 1024 bit RSA private key
.................++++++
................................++++++
writing new private key to 'ssl.key/server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []: <RETURN>
State or Province Name (full name) []: <RETURN>
Locality Name (eg, city) [Kawasaki]: <RETURN>
Organization Name (eg, company) []: <RETURN>
Organizational Unit Name (eg, section) []: <RETURN>
Common Name (eg, YOUR name) [localhost]: IPアドレスまたはホスト名 (*1) <RETURN>
Email Address []: <RETURN>

# /opt/FJSVrcvmr/bin/rcxadm mgrctl start <RETURN>

*1: Webブラウザに入力するIPアドレス、またはホスト名(FQDN)を入力します。

: 例
IPアドレス: 192.168.1.1
ホスト名: myhost.company.com

Webブラウザへのインストール
「5.3 RCコンソール」を参照し、本製品のログイン画面を表示してください。
このとき、URLには証明書に入力したIPアドレスまたはホスト名(FQDN)を指定してください。ログイン画面が表示された状態で、以下の操作を行ってください。
1. [証明書]画面を表示します。
  - Internet Explorer 6の場合
    ステータスバーの鍵マークをダブルクリックしてください。
  - Internet Explorer 7または8の場合
    アドレスバーの"証明書のエラー"をクリックすると、"証明書は信頼できません"または"証明書は無効です"と表示されます。
    ダイアログの下にある"証明書の表示"をクリックしてください。
2. [証明書]画面の"発行先"と"発行者"が、証明書作成時に指定したIPアドレスまたはホスト名(FQDN)であるか確認します。
3. [証明書]画面で<証明書のインストール(I)>ボタンをクリックします。
4. [証明書のインポートウィザード]画面が表示されます。
  <次へ(N)>>ボタンをクリックしてください。
5. "証明書をすべて次のストアに配置する(P)"を選択し、<参照(R)>ボタンをクリックします。
6. [証明書ストアの選択]画面が表示されます。
  "信頼されたルート証明機関"を選択し、<OK>ボタンをクリックしてください。
7. <次へ(N)>>ボタンをクリックします。
8. "信頼されたルート証明機関"が指定されているか確認し、<完了>ボタンをクリックします。
9. Webブラウザを再起動します。
複数の管理クライアントを利用する場合は、すべての管理クライアントで本操作を行ってください。
注意
Webブラウザに指定するURLには、証明書の作成時に指定したIPアドレスまたはホスト名(FQDN)を入力してください。証明書と異なるURLを入力した場合は、証明書の警告が表示されます。
例
ホスト名(FQDN)で作成した証明書に対して、IPアドレスを指定したURLでアクセスした場合
管理サーバに複数のIPアドレスが存在し、証明書に指定したものと異なるIPアドレスを指定したURLでアクセスした場合