Veritas NetBackup™ Appliance セキュリティガイド
- NetBackup appliance セキュリティガイドについて
- ユーザー認証
- ユーザー権限の確認
- 侵入防止、侵入検知システム
- NetBackup appliance の Symantec Data Center Security について
- NetBackup appliance の侵入防止システムについて
- NetBackup appliance の侵入検知システムについて
- NetBackup アプライアンスの SDCS イベントの見直し
- NetBackup アプライアンスでのアンマネージモードでの SDCS の実行
- NetBackup アプライアンスでのマネージモードでの SDCS の実行
- NetBackup appliance の侵入防止システムポリシーの上書き
- NetBackup appliance の侵入防止システムポリシーの再有効化
- ログファイル
- オペレーティングシステムのセキュリティ
- データセキュリティ
- Web セキュリティ
- ネットワークセキュリティ
- コールホームセキュリティ
- IPMI セキュリティ
- STIG と FIPS への準拠
- 付録 A. セキュリティのリリース内容
サードパーティの SSL 証明書の実装
Web サービスサポート用にサードパーティの証明書を手動で追加して実装できます。アプライアンスはセキュリティ証明書のリポジトリとして Java KeyStore を使用します。 Java KeyStore (JKS) はセキュリティ証明書のリポジトリで、たとえば、SSL 暗号化のインスタンスに使用される認可証明書または公開鍵証明書のようなものです。 サードパーティの証明書をアプライアンスに実行するには、ルートアカウントでログインする必要があります。
メモ:
この手順についてサポートが必要な場合は、ベリタステクニカルサポートに問い合わせてください。
サードパーティの SSL 証明書を実装するには:
- Web サービスのための KeyStore ファイルを準備します。
手順は使用する PKCS (公開鍵の暗号化標準) の種類によって異なります。また、選択する PKCS の種類にかかわらず、 KeyStore ファイルは次のキーワードを含む必要があります。
SubjectAlternativeName [
DNSName: ホスト名と IP アドレス
ホスト名はアプライアンスの完全修飾ドメイン名であり、IP アドレスはアプライアンスの完全修飾ドメイン名に対応します。
]
次の表に、PKCS# 7 および PKCS# 12 標準形式を使用する場合の手順を示します。
PKCS の形式
KeyStore ファイルの準備
PKCS#7 または X.509 形式
次のリンクを使用できます。
PKCS#12 形式
次の手順を実行します。
PEM 形式の x509 証明書と秘密鍵を PKCS# 12 に変換するには、次のコマンドを入力します。
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -name tomcat -CAfile ca.crt -caname root
openssl の使用方法について詳しくは、https://www.openssl.org/ を参照してください。
メモ:
PKCS #12 ファイルをパスワードで保護していることを確認してください。ファイルにパスワードを適用しないと、ファイルをインポートするときに NULL 参照例外が発生する可能性があります。
pkcs12 ファイルを Java KeyStore に変換するには、次のコマンドを入力します。
keytool -importkeystore -deststorepass appliance -destkeypass appliance -destkeystore keystore -srckeystore server.p12 -srcstoretype PKCS12 -srcstorepass some- password -alias tomcat
メモ:
-deststorepass オプションと -destkeypass オプションには、同じパスワードを指定します。異なるパスワードを指定すると、Web サーバーの起動時に例外が発生する可能性があります。パスワードでは、英数字のみがサポートされます。デフォルトのパスワードは appliance です。
-alias オプションには tomcat を指定します。異なるパスワードを指定すると、Web サーバーの起動時に例外が発生する可能性があります。
メモ:
keytool の使用方法について詳しくは、次のリンクを参照してください。
http://docs.oracle.com/javase/8/docs/technotes/tools/solaris/keytool.html
- データベースと関連するサービスをシャットダウンするには、次のコマンドを入力します。
/opt/IMAppliance/scripts/infraservices.sh database stop
systemctl stop nginx
/opt/IMAppliance/scripts/infraservices.sh database stop
/opt/IMAppliance/scripts/infraservices.sh webserver stop
- 既存の keystore ファイルを次のディレクトリにある新しい keystore ファイルに置き換えます。
/opt/apache-tomcat/security/ - 新しい keystore ファイルに以下のアクセス権を設定します。
chmod 700 /opt/apache-tomcat/securitychmod 600 /opt/apache-tomcat/security/keystorechown - R tomcat:tomcat /opt/apache-tomcat/security - 前の手順で、デフォルト以外の独自のパスワードを使用するように選択した場合は、次のコマンドを入力して Web サーバーの設定を更新します。
/opt/apache-tomcat/vrts/scripts/tomcat_instance.py update --keystore --password <your password>
/etc/rc.d/init.d/as-functionsファイルで Tomcat_Keystore と Tomcat_Keystore_Passwd の設定を更新します。- 証明書を
mongo_server_part_pamファイルにインポートして/etc/vxos-ssl/cert.conf から server_certを取得し、証明書をインポートします。/usr/bin/openssl pkcs12 -in server.p12 -out <server_cert> -passin pass:
<keyPassword> -passout pass: <keyPassword>
- 証明書を
client_part_pamファイルにインポートして、/etc/vxos-ssl/cert.confからclient_certを取得し、証明書をインポートします。/usr/bin/openssl pkcs12 -nokeys -in server.p12 -out <server_cert> -passin pass:
<keyPassword> -passout pass: <keyPassword>
- カスタマイズしたパスワードが
/etc/vxos-ssl/cert.confのpem_passwordと異なる場合は、カスタマイズしたパスワードを使用するように/etc/vxos-ssl/cert.confを変更します。 nginxを再起動するには、次のコマンドを入力します。/usr/sbin/update-nginx-conf.sh
service nginx stop
service nginx start
- Web サービスを再起動するには、次のコマンドを入力します。
/opt/IMAppliance/scripts/infraservices.sh database start
/opt/IMAppliance/scripts/infraservices.sh webserver start
- AutoSupport サービスを再起動するには、次のコマンドを入力します。
service as-alertmanager stop
service as-analyzer stop
service as-transmission stop
service as-alertmanager start
service as-analyzer start
service as-transmission start