ページの先頭行へ戻る
ServerView Resource Orchestrator Cloud Edition V3.2.0 NSオプション 説明書
FUJITSU Software
付録C NSアプライアンスの事前設定方法 > C.3 サーバ証明書およびCA証明書の操作 > C.3.1 サーバ証明書およびCA証明書の登録
前次

C.3.1 サーバ証明書およびCA証明書の登録

サーバロードバランサー機能のSSLアクセラレーターを利用する場合に必要な証明書の登録について説明します。

テナント利用者が、構築する業務システムに合わせて証明書を準備し、本証明書をインフラ管理者がNSアプライアンスに登録します。


図C.1 サーバ証明書およびCA証明書の登録の流れ


NSアプライアンスへ証明書を登録する方法について説明します。

CA証明書の登録

CA証明書(中間CA証明書を含む)については、通常、登録する必要はありません。

テナント管理者またはテナント利用者から依頼があり、クライアント側(ブラウザなど)にCA証明書が登録されていないCA局が発行したサーバ証明書を使用する場合に登録が必要となります。

CA証明書の登録手順を以下に示します。

  1. 登録するCA証明書が既にNSアプライアンスに登録済みか確認します。

    NSアプライアンスにログインし、以下のコマンドを投入します。

    admin
password: 管理者パスワード
show cert ca-certificate all
    管理者パスワード

    NSアプライアンス導入時に作成した「2.2.3.3 ネットワーク構成情報ファイル」で指定した管理者パスワードを入力します。

    NSアプライアンスに登録されているCA証明書が表示されます。表示される以下の項目から有効なCA証明書が登録済みかを確認します。

    項目

    説明

    Issuser

    CA証明書の発行者情報

    Subject

    CA証明書の所有者情報

    Validity

    CA証明書の有効期限

    CA証明書が登録されていない場合は、2.以降の手順でCA証明書を登録します。

    登録済みの場合は、登録作業は不要です。

  2. NSアプラインスにCA証明書を格納します。

    FTPサーバのファイルをNSアプライアンスに転送することで、NSアプライアンスに証明書を格納します。
    事前にFTPサーバ上に、証明書を格納してください。
    以下のコマンドを投入します。

    copy src_uri [ username name [ password password ] ] [ dst_filename ]
    src_uri

    NSアプライアンスにコピーする、コピー元となるFTPサーバ上の証明書を以下の形式で指定します。

    ftp://FTPサーバのIPv4アドレス/ディレクトリ/ファイル名
    name

    FTPサーバのログインIDを1~64文字で指定します。

    password

    FTPサーバのログインIDに対するパスワードを1~64文字で指定します。

    dst_filename

    "ca-cert.incom.pem”のファイル名を指定します。

  3. NSアプライアンスにCA証明書を登録します。
    以下のコマンドを投入します。

    cert entry peer-ca-certificate ca-certificate-group-entry-num
    ca-certificate-group-entry-num

    CA証明書番号を設定します。この番号は、ピアと自装置の証明書に対しての番号となります。
    指定できる値は1~2048の範囲です。
    0は特別な意味を持ち、本製品で作成した証明書に割り振られている番号であるため、他CA局の証明書は登録できません。また、標準でインストールされているSymantec Website Security社(旧VeriSign社)のCA証明書が、1~18に登録されていますので、それ以外に登録してください。

サーバ証明書の登録

  1. NSアプラインスにサーバ証明書を格納します。

    FTPサーバのファイルをNSアプライアンスに転送することで、NSアプライアンスに証明書を格納します。
    事前にFTPサーバ上に、証明書を格納してください。
    以下のコマンドを投入します。

    copy src_uri [ username name [ password password ] ] [ dst_filename ]
    src_uri

    NSアプライアンスにコピーする、コピー元となるFTPサーバ上の証明書を以下の形式で指定します。

    ftp://FTPサーバのIPv4アドレス/ディレクトリ/ファイル名
    name

    FTPサーバのログインIDを1~64文字で指定します。

    password

    FTPサーバのログインIDに対するパスワードを1~64文字で指定します。

    dst_filename

    "certXXX.imp.pkcs12"のファイル名を指定します。

    XXX

    エントリー番号

  2. NSアプライアンスにサーバ証明書を登録します。
    以下のコマンドを投入します。

    cert pkcs12-import certificate-entry-num password password
    certificate-entry-num

    サーバ証明書と秘密鍵の登録番号を設定します。
    指定できる値は1~256の範囲です。

    password

    PKCS#12ファイルを扱うためのパスワードを英数字および記号"!"#$%&()=~|-^\@[;:]/.,{`}*+_?><"で、20文字以内で指定します。

  3. rcxnetworkservice certctlコマンドを実行します。

    rcxnetworkservice certctl -name name -sync
    name

    NSアプライアンスの機器名を指定します。


    本コマンドは、簡単設定モードの場合に実行してください。
    コマンドの詳細については、「A.1 rcxnetworkservice」を参照してください。

  4. テナント管理者またはテナント利用者に登録完了を通知します。
    ユーザーカスタマイズモードを利用する場合は、登録したサーバ証明書の登録番号を通知します。

前次
Copyright 2010-2016 FUJITSU LIMITED