Veritas NetBackup™ Appliance セキュリティガイド
- NetBackup Appliance セキュリティガイドについて
- ユーザー認証
- ユーザー権限の確認
- 侵入防止、侵入検知システム
- ログファイル
- オペレーティングシステムのセキュリティ
- データセキュリティ
- Web セキュリティ
- ネットワークセキュリティ
- コールホームセキュリティ
- リモート管理モジュール (RMM) セキュリティ
- STIG と FIPS への準拠
- 索引
外部証明書の実装について
NetBackup Appliance の Web サービスでは、PKCS#12 標準を使用し、証明書ファイルを X.509 (.pem) 形式にする必要があります。証明書ファイルが .der、.DER または .p7b 形式の場合、NetBackup Appliance はファイルを受け入れ可能な形式に自動的に変換します。
証明書のインポート中にエラーを防ぐには、外部証明書ファイルが次の要件を満たしていることを確認します。
証明書ファイルが
.pemファイル形式であり、"-----BEGIN CERTIFICATE-----"で始まっている 。証明書ファイルの証明書の SAN (サブジェクトの別名) フィールドにホスト名と FQDN が含まれている。証明書を HA 環境で使用する場合、SAN フィールドには VIP、ホスト名、FQDN が含まれている必要がある。
サブジェクト名フィールドと一般名フィールドが空ではない。
サブジェクトフィールドが各ホストで一意である。
サブジェクトフィールドに含まれる文字が最大 255 文字である。
サーバーとクライアントの認証属性が証明書に設定されている。
証明書のサブジェクトフィールドおよび SAN フィールドで ASCII 7 文字のみが使用されている。
秘密鍵ファイルが PKCS#8 PEM 形式で、-----BEGIN ENCRYPTED PRIVATE KEY----- または -----BEGIN PRIVATE KEY----- で始まっている。
省略可能ですが、Settings > Security > Certificate > CertificateSigningRequest > Create コマンドを使用して CSR を生成できます。CSR の内容をコマンドラインから外部証明書ポータルにコピーして、必要な外部証明書ファイルを取得します。
Example: Enter specified value or use the default value. Common Name (eg, your name or your server's hostname) [Default abc123]: Organizational Unit Name (eg, section) []:Appliance Organization Name (eg, company) [Default Company Ltd]:YourCompanyName Locality Name (eg, city) [Default City]:YourCity State or Province Name (full name) []:YourStateorProvince Country Name (2 letter code) [XX]:YourCountryName Email Address []:email@yourcompany.com Please enter the following 'extra' attributes to be sent with your certificate request. ----- A challenge password []:123456 An optional company name []:ABCD Subject Alternative Name (DNS Names and/or IP Addresses comma separated): abc123,def456.yourcompany.com Subject Alternative Name (email comma separated): Certificate Signing Request Name [Default abc123.csr]: Validity period (in days) [Default 365 days]: Ensure that the Distinguished Name (DN) is specified as a string consisting of a sequence of key=value pairs separated by a comma: Then the generated certificate signing request will be shown on the screen.
バージョン 4.1 以降、Settings > Security > Certificate > Import コマンドを使用して NetBackup Appliance と NetBackup の両方に外部証明書を登録できます。
ホスト証明書、ホストの秘密鍵、トラストストアをインポートして、外部証明書を NetBackup と NetBackup Appliance に登録するには、次の手順を実行します。NetBackup 層と NetBackup Appliance 層の両方で同じホスト証明書、ホストの秘密鍵、トラストストアを使用します。
- 管理者ユーザーとしてアプライアンスにログインします。
- NetBackup Appliance シェルメニューから Settings > Security > Certificate > Import コマンドを実行します。これで次の NFS および CFS 共有の場所にアクセスできます。
NFS:
/inst/shareCFS:
\\<ApplianceName>\general_share
- 証明書ファイル、トラストストアファイル、秘密鍵ファイルを共有の場所のいずれかにアップロードし、ファイルへのパスを入力します。
- 証明書失効リスト (CRL) へのアクセス方法を選択します。CRL は、外部証明書によって失効され、信頼すべきではない外部証明書の一覧で構成されています。次のオプションのいずれかを選択します。
証明書ファイルに指定されている CRL の場所を使用する。
ローカルネットワークの CRL ファイル (
.crl) の場所を指定します。CRL を使用しない。
- アプライアンスに登録する証明書ファイルの場所を確認します。
次に、証明書をインポートする方法の詳細な例を示します。
インポートする必要がある証明書を特定します。
証明書をインポートします。
Enter the certificate: Enter the following details for external certificate configuration: Enter the certificate file path: cert_chain.pem Enter the trust store file path: cacerts.pem Enter the private key path: key.pem Enter the password for the passphrase file path or skip security configuration (default: NONE): Should a CRL be honored for the external certificate? 1) Use the CRL defined in the certificate. 2) Use the specific CRL directory. 3) Do not use a CRL. q) Skip security configuration. CRL option (1): 2 Enter the CRL location path: crl Then confirm input information and answer the subsequent questions.
Certificate コマンドを使用して、NetBackup Appliance で外部証明書を管理できます。
Settings > Security > Certificate > Add CACertificate コマンドを使用して、サーバー CA、HTTPS プロキシ CA、または LDAP CA 証明書を認証局リストに追加できます。CA 証明書の内容を PEM または P7B 形式で貼り付けます。アプライアンスは認証局リストにこの CA 証明書を追加します。CA 証明書を追加する前に、アプライアンスは CA 証明書がすでにアプライアンスで使用されているかどうかを確認します。使用されている場合、アプライアンスはその旨を示すメッセージを表示して終了します。
Settings > Security > Certificate > Remove CACertificate コマンドを使用して、認証局リストからサーバー CA 証明書を削除できます。利用可能な CA 証明書が一覧表示され、削除する証明書を選択できます。