Element ソフトウェアでカスタム SSL 証明書を設定する際の要件を教えてください。
環境
- Element ソフトウェアバージョン 12.2 以降
- Element 管理ノード( mNode )
回答
Element ソフトウェアとそれに関連付けられた管理ノード( mNode )は、バージョン 12.2 以降の要件を満たす証明書がデフォルトでパッケージ化されています。
証明書の要件
- ストレージクラスタ用に作成された一意のSSL証明書
- cert commonNameフィールドには'FQDNのクラスタ名または短い名前を指定する必要があります
- Subject Alternative NameにはMVIPのFQDNが含まれている必要があります
- 他のシステムのFQDNを追加することはできません。
- nslookup [MVIP]はFQDNを返す必要があります
- nslookup [FQDN]からMVIPが返される必要があります
- PEM エンコード( x509 ) PEM エンコード( x509
- ExtendedKeyUsage ( EKU )が設定されます( x509v3 )
- 証明書の長さが 2048 ビット以上(多要素認証( MFA )に必要)
デフォルトの証明書は自己署名証明書です。カスタム証明書(サードパーティの認証局( CA )が署名した証明書など)は、上記の要件を満たしていれば、 Element ストレージクラスタとそれに付随する mNode にインストールできます。
環境要件
インストールする証明書がネットワークパス内のすべてのファイアウォールで許可されていることを確認してください。
ファイアウォールの例外リストに許可または追加する証明書ポリシーの URL を確認するには、次の手順を実行します。
- Web ブラウザで、クラスタ UI から証明書を確認します
- Web ブラウザで鍵のアイコンをクリックし、 [ 証明書 ]>[ 証明書パス ]>[ 組織の証明書 ] を選択します
- ポップアップウィンドウで、 [ 詳細 ]>[ 証明書ポリシー ] を選択します
- この証明書ポリシーの URL は一番下にあります。この URL はファイアウォールで許可されている必要があります
- すべてのストレージノードのMIPからCAサーバへのポートhttp(80)でFWルールを有効にします
カスタム証明書の設定
作成したカスタム証明書は、 Element クラスタと mNode の両方で、さまざまな API ベースのメソッドを使用して設定できます。例えば、次のように参照してください。
追加情報
トラブルシューティング
上記の要件のいずれかが所定の位置にない場合、 SetSSLCertificate ( Element ) API または SetNodeSSLCertificate ( mNode ) API は失敗し、エラーメッセージが表示されます。例えば、次のように参照してください。
関連トピック
Element ソフトウェアで MFA を使用する方法については、『 Element Multi-Factor Authentication Guide 』の場所を参照してください。
Element ソフトウェアでの FIPS[1]の使用については、クラスタでの HTTPS の FIPS 140-2 の有効化を参照してください。
Element での SSL のコンテキストにおける暗号の詳細については、『 HCI Hardening Guide 』が記載されている場所からリンクされたガイドの「 TLS and SSL 」を参照してください。