SSL(Secure Sockets Layer)は、インターネット上でのデータ転送 中のセキュリティを向上させるために広く使用されているプロトコ ルです。SSLでは、ソケットを使用して、クライアントとサーバの プログラム間でデータを渡し、RSAの公開鍵と秘密鍵の暗号システ ムを使用して、転送されたデータを検証します。デジタル署名も使 用されます。
SSLを構成することにより、以下で転送されるデータの安全性を確 保できます。
◆ EMC ControlCenter Webサーバ(以下に使用):
– ControlCenterコンソールのダウンロード
– Performance Managerの自動作成レポートの起動 – StorageScopeの起動
SSL通信を管理するには、以下のステップに従ってください。
◆ 31.1 「適切な権限でのログイン」
◆ 31.2 「EMC ControlCenter Webサーバのサービスの停止」
◆ 31.3 「キーストア証明書の生成」
◆ 31.4 「非SSL通信とSSL通信の有効化/無効化」
◆ 31.5 「非SSL/SSL通信の有効化/無効化に関する注意事項」
31.1 適切な権限でのログイン
ローカルのAdministratorsグループのメンバーのアカウントで、
EMC ControlCenter Webサーバのホストにログインし、ホストが、
サポートされるバージョンのWindowsオペレーティング・システ ムを実行していることを確認します(サポートされるバージョンに ついては、Powerlinkの「EMC ControlCenter Support Matrix」を 参照)。
31.2 EMC ControlCenter Webサーバのサービスの停止
EMC ControlCenter Webサーバのサービスが停止していない場合
は、以下の手順に従って停止します。
a. Windowsの[スタート]メニューで、[設定]>[コントロール パネル]>[管理ツール]>[サービス]を選択します。
b. EMC ControlCenter Webサーバのサービスの状態が[停止]で あることを確認します。必要な場合は、サービス名を右クリッ
31.3 キーストア証明書の生成
SSLを実装するには、Webサーバで、安全な接続を受け入れる個々 のIPアドレスに対するキーストア証明書が必要です。インストール 時に作成される自己署名証明書を使用して、必要に応じて、認証機 関に証明書の検証を依頼します(認証機関とは、デジタル証明書を 発行する第三者機関)。
自己署名証明書を作成するには、以下の手順に従ってください。
a. EMC ControlCenter Webサーバ・ホストで、コマンド・ウィン
ドウを開き、以下のディレクトリに移動します。
<ECC_INSTALL_ROOT>¥tools¥JRE¥Nt¥1.4.2¥bin b. 以下のコマンドを入力します。
keytool -genkey -alias tomcat -keyalg RSA -keystore
<path_to_keystore_file>
path_to_keystore_fileは、ユーザー設定のデフォルト・ディ レクトリの名前。例:
keytool -genkey -alias tomcat -keyalg RSA -validity 350 -keystore “C:¥Documents and Settings¥Default User¥.keystore”
重要:自己署名証明書のデフォルトの有効期間は、90日です。有効期間 を90日より長く指定することを推奨します。たとえば、有効期間を350 日にするには、keytoolコマンドで、-validity 350と指定します。
注:.keystoreのデフォルトのパスとファイル名を変更するには、
keytoolコマンドで、-addパラメータを指定します。
キーストアのパスワードの入力を求めるプロンプトが表示され ます。
c. Tomcatが使用するデフォルトのパスワードchangeit(大文字
小文字を区別する)を入力します。
ユーザーの姓と名前の入力を求めるプロンプトが表示されます。
d. 自分自身の姓と名前の入力せずに、EMC ControlCenter Web サーバ・ホストのネットワーク名を入力します。
組織単位に関する情報の入力を求めるプロンプトが表示されます。
e. 組織単位、組織、市(町)、州(郡)、2文字の国コードを入力し ます。各項目に入力したら、Enterキーを押します。
入力した情報のサマリーが表示され、情報が正しいかどうかを 尋ねるプロンプトが表示されます。
f. 正しい場合はyesと入力し、変更する場合はnoと入力します。
g. Tomcatのキー・パスワード(大文字小文字を区別する)を入力
します。手順cで指定したデフォルトのパスワード(changeit) と同じものを使用する場合は、Enterキーを押します。
以下のファイルが作成されます。
C:¥Documents and Settings¥<username>¥.keystore
h. 必要な場合は、以下のコマンドを入力して、CRS(証明書署名要 求)を作成します。CRSを認証機関に提出すると、証明書が発 行されます。
keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr -keystore <your_keystore_filename>
certreq.csrという名前のPEM形式でエンコードされたファイ ルが作成されます。
i. 必要に応じて、certreq.csrファイルを認証機関に提出します。
代表的な認証機関を以下に示します。
• VeriSign:http://www.verisign.com/support/install/
intermediate.html
• Trustcenter:
http://www.trustcenter.de/certservices/cacerts/en/
en.htm#server
• Thawte:http://www.thawte.com/certs/trustmap.html 認証期間からチェーン証明書が発行されます。
j. 手順iを実行していた場合は、以下のコマンドを入力して、
チェーン署名書をキーストアにインポートします。
keytool -import -alias root -keystore
<your_keystore_filename> -trustcacerts -file
<filename_of_the_chain_certificate>
31.4 非SSL通信とSSL通信の有効化/無効化
デフォルトでは、EMC ControlCenter Webサーバは、非SSL
(HTTP)とSSL(HTTPS)の両方の接続方法を受け入れるように構 成されています。
非SSL = HTTP = ポート80 = デフォルト・ポート SSL = HTTPS = ポート30002 = 指定ポート 例:
非SSL(HTTP)接続でコンソールをダウンロードする場合:
• http://hostname/webinstall
SSL(HTTPS)接続でコンソールをダウンロードする場合:
• https://hostname:30002/webinstall
非SSL(HTTP)でPerformance Managerの自動作成レポートに接
続する場合:
• http://hostname/wla/wla51.xml?report=automation
SSL(HTTPS)でPerformance Managerの自動作成レポートに接続
する場合:
• http://hostname:30002/wla/wla51.xml?report=automation 非SSL(HTTP)でStorageScopeに接続する場合:
• http://hostname/srm
SSL(HTTPS)でStorageScopeに接続する場合:
• https://hostname:30002/srm
SSL構成の設定は、server.xmlファイルに保存されます。
server.xmlファイルの保存場所:
• <ECC_ROOT>/Tomcat/conf/server.xml
server.xmlファイルに、Connector Port = "80"というセクションがあ ります。
server.xmlファイルに、Connector Port = "30002"というセクション があります。
ポートを「有効」にするには、server.xmlファイルの該当する
Connector Portセクションをアンコメントします(デフォルト)。
ポートを「無効」にするには、server.xmlファイルの該当する
Connector Portセクションをコメントアウトします。
コメントアウトの開始タグ:<!--コメントアウトの終了タグ: -->
31.5 非SSL/SSL通信の有効化/無効化に関する注意事項 EMC ControlCenter Webサーバ(以下に使用):
◆ ControlCenterコンソールのダウンロード
◆ Performance Managerの自動作成レポートの起動
◆ StorageScopeの起動
ControlCenterコンソールのダウンロード
正しいアドレスを指定してダウンロードするように注意します。
◆ http://hostname/webinstall
◆ https://hostname:30002/webinstall
Performance Managerの自動作成レポートの起動
Performance Managerの自動作成レポートの起動には、デフォルト
では、SSLポート30002が使用されます。
非SSLのポート80に変更する場合は、以下の手順を実行します。
◆ http://hostname/wla/wla51.xml?report=automationと指定します。
◆ WLA.iniファイルで以下の値を変更します。
◆ EccReportServerPort=80
◆ SSLEnabled = FALSE StorageScopeの起動
ControlCenterコンソール内でのStorageScopeの起動には、デフォ ルトでは、SSLポート80が使用されます。
SSLポート30002に変更すると、StorageScopeをControlCenterコ ンソールから起動できません。