Element ソフトウェアでカスタム SSL 証明書を設定する際の要件を教えてください。

証明書の要件

• ストレージクラスタ用に作成された一意のSSL証明書
•  cert commonNameフィールドには'FQDNのクラスタ名または短い名前を指定する必要があります
• Subject Alternative NameにはMVIPのFQDNが含まれている必要があります 
• 他のシステムのFQDNを追加することはできません。
  • nslookup [MVIP]はFQDNを返す必要があります 
  • nslookup [FQDN]からMVIPが返される必要があります
• PEM エンコード（ x509 ） PEM エンコード（ x509
• ExtendedKeyUsage （ EKU ）が設定されます（ x509v3 ）
• 証明書の長さが 2048 ビット以上（多要素認証（ MFA ）に必要）

デフォルトの証明書は自己署名証明書です。カスタム証明書（サードパーティの認証局（ CA ）が署名した証明書など）は、上記の要件を満たしていれば、 Element ストレージクラスタとそれに付随する mNode にインストールできます。

環境要件

インストールする証明書がネットワークパス内のすべてのファイアウォールで許可されていることを確認してください。

ファイアウォールの例外リストに許可または追加する証明書ポリシーの URL を確認するには、次の手順を実行します。

• Web ブラウザで、クラスタ UI から証明書を確認します
• Web ブラウザで鍵のアイコンをクリックし、 [ 証明書 ]>[ 証明書パス ]>[ 組織の証明書 ] を選択します
• ポップアップウィンドウで、 [ 詳細 ]>[ 証明書ポリシー ] を選択します
• この証明書ポリシーの URL は一番下にあります。この URL はファイアウォールで許可されている必要があります
• すべてのストレージノードのMIPからCAサーバへのポートhttp（80）でFWルールを有効にします

カスタム証明書の設定

作成したカスタム証明書は、 Element クラスタと mNode の両方で、さまざまな API ベースのメソッドを使用して設定できます。例えば、次のように参照してください。

• ElementソフトウェアのデフォルトのSSL証明書を変更する

• Element mNodeにカスタムのSSL証明書を設定するAPIメソッドは何ですか？

トラブルシューティング

上記の要件のいずれかが所定の位置にない場合、 SetSSLCertificate （ Element ） API または SetNodeSSLCertificate （ mNode ） API は失敗し、エラーメッセージが表示されます。例えば、次のように参照してください。

• カスタム SSL を設定するときに、「 Missing ExtendedKeyUsage (EKU) extension 」エラーが発生しました Element ソフトウェアの証明書
• カスタム SSL 証明書の設定時に「 Invalid private key 」エラーが発生します を Element ソフトウェアで実行します
• でカスタム SSL 証明書を設定すると「キーサイズ」エラーが発生します Element ソフトウェア

関連トピック

Element ソフトウェアで MFA を使用する方法については、『 Element Multi-Factor Authentication Guide 』の場所を参照してください。

Element ソフトウェアでの FIPS[1]の使用については、クラスタでの HTTPS の FIPS 140-2 の有効化を参照してください。

Element での SSL のコンテキストにおける暗号の詳細については、『 HCI Hardening Guide 』が記載されている場所からリンクされたガイドの「 TLS and SSL 」を参照してください。