Element SoftwareでのカスタムSSL証明書の設定に関する要件を教えてください。

証明書の要件

• ストレージクラスタ用に作成された一意のSSL証明書
•  cert commonNameフィールドには、クラスタ名またはFQDNの短縮名を指定する必要があります。
• サブジェクトの代替名にはMVIPのFQDNを含める必要があります。
• 他のシステムの追加のFQDNを含めることはできません。
  • nslookup [MVIP]はFQDNを返す必要があります
  • Nslookup [FQDN]はMVIPを返す必要があります
• PEMエンコード （x509）
• ExtendedKeyUsage（EKU） が設定されている（x509v3）
• 証明書の長さが2048ビット以上（ 多要素 認証（MFA）を使用する場合の要件です）

デフォルトの証明書は自己署名証明書です。カスタム証明書（サードパーティの認証局（CA）によって署名された証明書など）をElementストレージクラスタとそれに付随するmNodeにインストールできます（上記の要件を満たしている場合）。

環境要件

インストールする証明書が、ネットワークパスのファイアウォールで許可されていることを確認します。

ファイアウォールの例外リストに許可または追加する証明書ポリシーのURLを確認するには、次の手順を実行します。

• Webブラウザで、 クラスタUIで証明書を確認
• Webブラウザの鍵のアイコンをクリックし、[証明書]>[証明書パス]>[組織の証明書]を選択します。
• 表示されるウィンドウで、[Details]>[Certificate Policy]を選択します。
• この証明書ポリシーのURLは一番下にある必要があります。このURLはファイアウォールで許可されている必要があります。
• すべてのストレージノードのMIPからCAサーバへのポートhttp（80）でFWルールを有効にする

カスタム証明書の設定

取得したカスタム証明書は 、ElementクラスタとmNodeの両方で、さまざまなAPIベースのメソッドを使用して設定できます。次の例を参照してください。

• ElementソフトウェアのデフォルトのSSL証明書の変更

• Element mNodeにカスタムSSL証明書を設定するためのAPIメソッドはどれですか？

トラブルシューティング

上記のいずれかの要件が満たされていないと、SetSSLCertificate （Element）またはSetNodeSSLCertificate（mNode）APIが失敗し、エラーメッセージが表示されます。次の例を参照してください。

• ElementソフトウェアでカスタムSSL証明書を設定すると「Missing ExtendedKeyUsage（EKU）extension」エラーが表示される
• ElementソフトウェアでカスタムSSL証明書を設定するときに「Invalid private key」エラーが発生する
• ElementソフトウェアでカスタムSSL証明書を設定するときに「Key size」エラーが発生する

関連トピック

ElementソフトウェアでのMFAの使用方法については、 『Element Multi-factor Authentication』ガイドの参照先を参照してください。

ElementソフトウェアでのFIPSの使用については、 クラスタでのHTTPSでのFIPS 140-2の有効化を参照してください。

ElementでのSSLに関連する暗号の詳細については、ガイドの「TLSとSSL」のセクションを参照してください 。HCIセキュリティ強化ガイドの場所はどこですか？