ここでは、本製品で使用するHTTPS通信のセキュリティについて説明します。
本製品は、以下の図で示された3か所でHTTPS通信を行っており、通信データの暗号化と相互認証のために証明書を利用します。
管理クライアント - 管理サーバ間、HBA address rename設定サービス用サーバ - 管理サーバ間
管理クライアントとHBA address rename設定サービス用サーバは、管理サーバに接続するたびに管理サーバ上の証明書を自動的に取得し、通信データの暗号化処理に利用します。
管理サーバ - 管理対象サーバ間(エージェント通信用)
管理サーバと管理対象サーバでは、本製品のインストール時にそれぞれの証明書が作成されます。また、以下の証明書保存契機に通信相手の証明書を取得したあと保存しています。保存した証明書は、相互認証を用いたHTTPS通信を行うために利用されます。
マネージャーを再インストールした場合、エージェントに保存されている証明書とは異なる新たな証明書が作成されるため、通信ができなくなります。再インストールする場合、「導入ガイド CE」の「20.1 マネージャーのアンインストール」を参照して証明書をバックアップします。そのあと、「導入ガイド CE」の「2.1 マネージャーのインストール」で証明書を再設定してください。
管理サーバ - 管理対象サーバ間(VMホスト通信用)、管理サーバ - VM管理製品間【VMware】
管理サーバは、管理対象サーバ(VMホスト)またはVM管理製品の接続ごとに、証明書を自動的に取得し、通信データの暗号化処理に利用します。
証明書保存契機
HTTPS通信で利用する証明書は、接続するたびに管理サーバ上の証明書を自動的に取得するため、保存されません。
HTTPS通信で利用する証明書は、以下の契機でマネージャーとエージェント上に自動的に保存されます。
管理対象サーバの登録時
エージェントを再インストールして起動した直後
HTTPS通信で利用する証明書は、接続するたびに証明書を自動的に取得するため、保存されません。
証明書の種類
本製品は、以下の証明書を利用しています。
X.509に準拠したRSA暗号で作成された公開鍵を含む証明書を利用しています。鍵のサイズは1024ビットです。
X.509に準拠したRSA暗号で作成された公開鍵を含む証明書を利用しています。鍵のサイズは2048ビットです。
X.509に準拠したRSA暗号で作成された公開鍵を含む証明書を利用しています。鍵のサイズは1024ビットです。
Webブラウザへの証明書のインストール
本製品では、マネージャーをインストールする際に、管理サーバごとに異なる自己署名証明書を自動的に作成し、HTTPS通信で利用しています。
ファイアーウォールによって保護されたイントラネットなど、なりすましの危険性がない、通信相手が信頼できるネットワークでは、自己署名証明書を利用しても問題ありませんが、Webブラウザでは、インターネットでの利用を想定した以下の警告が表示されます。
接続時の警告画面
Webブラウザを起動したあと、最初に接続を行う際に、セキュリティ証明書に関する警告画面が表示されます。
Internet Explorer 8または9のアドレスバーのエラーと、フィッシング詐欺検出機能の警告
ログイン画面、RORコンソール、ブレードビューアでアドレスバーの背景が赤くなり、アドレスバーの右側に"証明書のエラー"と表示されます。
また、ステータスバーにフィッシング詐欺検出機能の警告アイコンが表示されます。
接続時の警告画面とInternet Explorer 8または9のアドレスバーのエラーを表示させないようにするには、URLに指定する管理サーバのIPアドレス、またはホスト名(FQDN)に対応した証明書を作成し、Webブラウザにインストールする必要があります。
マネージャーのインストール時には、"localhost"に対する証明書が作成されています。
管理サーバとは別のサーバを管理クライアントにする場合、以下の手順で証明書をインストールしてください。
管理サーバと管理クライアントを兼用する場合、証明書の作成は必要ありません。URLにlocalhostを指定して、以下の手順2.だけ行ってください。
証明書の作成
本製品の管理サーバでコマンド プロンプトを開きます。
以下のコマンドを実行し、インストールフォルダーに移動します。
【Windowsマネージャー】
>cd "インストールフォルダー\SVROR\Manager\sys\apache\conf" <RETURN> |
【Linuxマネージャー】
# cd /etc/opt/FJSVrcvmr/sys/apache/conf <RETURN> |
現在の証明書をバックアップしたあと、本製品に添付の証明書作成コマンド(openssl.exe)を実行します。
-daysオプションには、コマンドを実行する日から数えて、有効期限が2038年1月19日を超えない範囲で、本製品の使用が予想される期間よりも十分に長い日数を指定してください。
例
マネージャーをC:\Fujitsu\RORにインストールし、有効期間15年(-day 5479)を指定した場合
【Windowsマネージャー】
>cd "C:\Fujitsu\ROR\SVROR\Manager\sys\apache\conf" <RETURN> |
【Linuxマネージャー】
# cd /etc/opt/FJSVrcvmr/sys/apache/conf <RETURN> |
注) Webブラウザに入力するIPアドレス、またはホスト名(FQDN)を入力します。
例
IPアドレス: 192.168.1.1
ホスト名: myhost.company.com
Webブラウザへのインストール
「導入ガイド CE」の「第4章 RORコンソールへのログイン」を参照し、本製品のログイン画面を表示してください。
このとき、URLには証明書に入力したIPアドレスまたはホスト名(FQDN)を指定してください。ログイン画面が表示された状態で、以下の操作を行ってください。
[証明書]画面を表示します。
Internet Explorer 8または9の場合、アドレスバーの"証明書のエラー"をクリックすると、"証明書は信頼できません"または"証明書は無効です"と表示されます。
ダイアログの下にある"証明書の表示"をクリックしてください。
[証明書]画面の"発行先"と"発行者"が、証明書作成時に指定したIPアドレスまたはホスト名(FQDN)であるか確認します。
[証明書]画面で<証明書のインストール(I)>ボタンをクリックします。
[証明書のインポート ウィザード]画面が表示されます。
<次へ(N)>>ボタンをクリックしてください。
"証明書をすべて次のストアに配置する(P)"を選択します。
<参照(R)>ボタンをクリックします。
[証明書ストアの選択]画面が表示されます。
"信頼されたルート証明機関"を選択します。
<OK>ボタンをクリックしてください。
<次へ(N)>>ボタンをクリックします。
"信頼されたルート証明機関"が指定されているか確認します。
<完了>ボタンをクリックします。
Webブラウザを再起動します。
複数の管理クライアントを利用する場合、すべての管理クライアントで本操作を行ってください。
注意
Webブラウザに指定するURLには、証明書の作成時に指定したIPアドレスまたはホスト名(FQDN)を入力してください。証明書と異なるURLを入力した場合、証明書の警告が表示されます。
例
ホスト名(FQDN)で作成した証明書に対して、IPアドレスを指定したURLでアクセスした場合
管理サーバに複数のIPアドレスが存在し、証明書に指定したものと異なるIPアドレスを指定したURLでアクセスした場合
管理サーバがWindowsで、かつ複数のIPアドレスを持つ環境において、WebブラウザのURLに指定したIPアドレスまたはホスト名(FQDN)とは異なるURLでログイン画面が表示され、証明書の警告表示が消えないことがあります。
対処として、管理LANで使用しているネットワークアダプターのバインド優先順位を、ほかのネットワークアダプターより高く設定してください。
例
Microsoft(R) Windows Server(R) 2008 R2 Enterpriseで、ネットワークアダプターのバインド優先順位を変更する場合
<スタート>ボタンをクリックし、[コントロール パネル]をクリックします。
[ネットワークとインターネット]が表示されている場合は、これをクリックします。
表示されていない場合、クリックせずに次の手順に進みます。
[ネットワークと共有センター]をクリックし、左側の[アダプターの設定の変更]をクリックします。
[詳細設定]メニューの[詳細設定]をクリックします。
[詳細設定]メニューが表示されていない場合、[Alt]キーを押してください。
[アダプタとバインド]タブの[接続]の一覧で、変更する接続をクリックし、上矢印ボタンまたは下矢印ボタンをクリックして順序を並べ替えます。
<OK>ボタンをクリックします。