メインコンテンツまでスキップ

Element ソフトウェアでカスタム SSL 証明書を設定する際の要件を教えてください。

Views:
35
Visibility:
Public
Votes:
0
Category:
element-software
Specialty:
solidfire
Last Updated:

環境

  • Element ソフトウェアバージョン 12.2 以降
  • Element 管理ノード( mNode )

回答

Element ソフトウェアとそれに関連付けられた管理ノード( mNode )は、バージョン 12.2 以降の要件を満たす証明書がデフォルトでパッケージ化されています。

証明書の要件
  • ストレージクラスタ用に作成された一意のSSL証明書
  •  cert commonNameフィールドには'FQDNのクラスタ名または短い名前を指定する必要があります
  • Subject Alternative NameにはMVIPのFQDNが含まれている必要があります 
  • 他のシステムのFQDNを追加することはできません。
    • nslookup [MVIP]はFQDNを返す必要があります 
    • nslookup [FQDN]からMVIPが返される必要があります
  • PEM エンコード( x509 ) PEM エンコード( x509
  • ExtendedKeyUsage ( EKU )が設定されます( x509v3 )
  • 証明書の長さが 2048 ビット以上(多要素認証( MFA )に必要)

デフォルトの証明書は自己署名証明書です。カスタム証明書(サードパーティの認証局( CA )が署名した証明書など)は、上記の要件を満たしていれば、 Element ストレージクラスタとそれに付随する mNode にインストールできます。

環境要件

インストールする証明書がネットワークパス内のすべてのファイアウォールで許可されていることを確認してください。

ファイアウォールの例外リストに許可または追加する証明書ポリシーの URL を確認するには、次の手順を実行します。

  • Web ブラウザで、クラスタ UI から証明書を確認します
  • Web ブラウザで鍵のアイコンをクリックし、 [ 証明書 ]>[ 証明書パス ]>[ 組織の証明書 ] を選択します
  • ポップアップウィンドウで、 [ 詳細 ]>[ 証明書ポリシー ] を選択します
  • この証明書ポリシーの URL は一番下にあります。この URL はファイアウォールで許可されている必要があります
  • すべてのストレージノードのMIPからCAサーバへのポートhttp(80)でFWルールを有効にします
カスタム証明書の設定

作成したカスタム証明書は、 Element クラスタと mNode の両方で、さまざまな API ベースのメソッドを使用して設定できます。例えば、次のように参照してください。

追加情報

トラブルシューティング

上記の要件のいずれかが所定の位置にない場合、 SetSSLCertificate ( Element ) API または SetNodeSSLCertificate ( mNode ) API は失敗し、エラーメッセージが表示されます。例えば、次のように参照してください。

関連トピック

Element ソフトウェアで MFA を使用する方法については、『 Element Multi-Factor Authentication Guide 』の場所を参照してください。

Element ソフトウェアでの FIPS[1]の使用については、クラスタでの HTTPS の FIPS 140-2 の有効化を参照してください。

Element での SSL のコンテキストにおける暗号の詳細については、『 HCI Hardening Guide 』が記載されている場所からリンクされたガイドの「 TLS and SSL 」を参照してください。

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.