<book_title> を検索 ...

NetBackup™ Snapshot Manager インストールおよびアップグレードガイド

Last Published: 2023-12-28

Product(s): NetBackup (10.3)

NetBackup Snapshot Manager への接続のセキュリティ保護

サポート対象のシナリオ:
- プライマリサーバーと Snapshot Manager は、ECA または NBCA を使用している必要があります。
- NBCA と ECA の混合モードの場合は、NetBackup Snapshot Manager インストールの ECA モードに進みます。
サポート対象外のシナリオ: NBCA を使用したプライマリと、ECA を使用した NetBackup Snapshot Manager、およびその逆。

NetBackup Snapshot Manager では、外部 CA の CRL を /cloudpoint/eca/crl ファイルにアップロードできます。crl ディレクトリが存在しないか空の場合、アップロードした CRL は機能しません。

データムーバーコンテナの場合は、/cloudpoint/openv/netbackup/bp.conf ファイルの ECA_CRL_PATH パラメータに対して /cloudpoint/eca/crl のパスを追加します。

次の 3 つのパラメータを調整できます。/cloudpoint/flexsnap.conf ファイルの eca セクションにエントリを追加できます。

表: ECA パラメータ

パラメータ	デフォルト	値	注釈
eca_crl_check	0 (Disabled)	0 (disabled) 1 (leaf) 2 (chain)	証明書の確認レベル。オンプレミスまたはクラウドの作業負荷に接続している NetBackup Snapshot Manager ホストの CRL/OCSP 検証レベルを制御するために使用します。 0 (disabled): 検証時に CRL/OCSP は実行されません 1 (leaf): リーフにのみ CRL/OSCP 検証が実行されます。 2 (chain): チェーン全体に CRL/OSCP 検証が実行されます。
eca_crl_refresh_ hours	24	0 から 4830 の間の数値	証明書の CDP URL を介して CA から NetBackup Snapshot Manager CRL キャッシュを更新する間隔 (時間)。`/cloudpoint/eca/crl` ファイルが存在し、CRL ファイルが含まれている場合、このオプションは適用できません。0 に設定すると、キャッシュは更新されません。
eca_crl_path_sync_ hours	1	1 から 720 の間の数値	`/cloudpoint/eca/crl` ファイルの NetBackup Snapshot Manager CRL キャッシュを更新する時間間隔 (時間)。`/cloudpoint/eca/crl` ファイルが存在しない、または空の場合、このオプションは適用できません。

パラメータ

デフォルト

値

注釈

eca_crl_check

0 (Disabled)

0 (disabled)

1 (leaf)

2 (chain)

証明書の確認レベル。オンプレミスまたはクラウドの作業負荷に接続している NetBackup Snapshot Manager ホストの CRL/OCSP 検証レベルを制御するために使用します。

0 (disabled): 検証時に CRL/OCSP は実行されません
1 (leaf): リーフにのみ CRL/OSCP 検証が実行されます。
2 (chain): チェーン全体に CRL/OSCP 検証が実行されます。

eca_crl_refresh_ hours

0 から 4830 の間の数値

証明書の CDP URL を介して CA から NetBackup Snapshot Manager CRL キャッシュを更新する間隔 (時間)。/cloudpoint/eca/crl ファイルが存在し、CRL ファイルが含まれている場合、このオプションは適用できません。0 に設定すると、キャッシュは更新されません。

eca_crl_path_sync_ hours

1 から 720 の間の数値

/cloudpoint/eca/crl ファイルの NetBackup Snapshot Manager CRL キャッシュを更新する時間間隔 (時間)。/cloudpoint/eca/crl ファイルが存在しない、または空の場合、このオプションは適用できません。

詳しくは『NetBackup™ セキュリティおよび暗号化ガイド』の次のセクションを参照してください。

ホスト ID ベースの証明書失効リストについて
証明書配備中に認証トークンが必要である場合

メモ:

/cloudpoint/flexsnap.conf ファイル内でいずれかの ECA 調整機能を手動で追加または修正すると、キャッシュは検証されません。

Snapshot Manager の証明書の無効化

NetBackup CA と証明書について詳しくは、『NetBackup™ セキュリティおよび暗号化ガイド』の「NetBackup CA と NetBackup 証明書」の章を参照してください。

次の表に、Snapshot Manager で証明書を無効化するために実行する再生成手順を示します。

使用例	コマンド
CA の移行	NBCA から ECA: # flexsnap_configure renew --ca /eca2/trusted/cacerts.pem --key /eca2/private/key.pem --chain /eca2/cert_chain.pem Enrolling external CA certificates with NetBackup... Snapshot Manager certificate is renewed. ECA から NBCA: # flexsnap_configure renew --token <reissue-token> Generating new NetBackup Host-ID certificate... Snapshot Manager certificate is renewed.
NBCA の場合の無効化後の証明書の再生成	# flexsnap_configure renew --token <reissue-token> Generating new NetBackup Host-ID certificate... Snapshot Manager certificate is renewed.
ECA の場合の無効化後の証明書の再生成	# flexsnap_configure renew --ca /eca2/trusted/cacerts.pem --key /eca2/private/key.pem --chain /eca2/cert_chain.pem Enrolling external CA certificates with NetBackup... Snapshot Manager certificate is renewed.
ECA/NBCA の場合の移行後の証明書の再生成	# flexsnap_configure renew --hostnames new-nbsm.veritas.com --token <authentication-token> Generating new NetBackup Host-ID certificate... Snapshot Manager certificate is renewed. Please run 'flexsnap_configure renew --internal --hostnames <nbsm_fqdn> to renew Snapshot Manager's internal CA and certificates.
拡張機能の証明書の再生成	# flexsnap_configure renew --extension --primary <nbsm_fqdn> --token <extension_token>
証明書のローテーション	# flexsnap_configure renew --force Generating new NetBackup Host-ID certificate... Snapshot Manager certificate is renewed.
移行、ディザスタリカバリのシナリオの場合の内部 flexsnap CA 証明書	# flexsnap_configure renew --internal --hostnames <nbsm_fqdn> Renewed Flexsnap CA ... skip Renewed rabbitmq certificate ... done Renewed postgresql certificate ... done Renewed listener certificate ... done Renewed workflow certificate ... done Renewed scheduler certificate ... done Renewed agent certificate ... done Renewed client certificate ... done Renewed certmaster certificate ... done Renewed agent certificate ... done Renewed notification certificate ... done Renewed client certificate ... done Renewed client certificate ... done Renewed mongodb certificate ... done Renewed coordinator certificate ... done Renewed config certificate ... done Renewed idm certificate ... done Renewed agent certificate ... done Renewed client certificate ... done Renewed policy certificate ... done Snapshot Manager's CA and certificates are renewed. Restart the Snapshot Manager stack using 'flexsnap_configure restart' to take effect.