<book_title> を検索 ...

Veritas InfoScale™ Operations Manager 8.0.2 インストール/設定ガイド

Last Published: 2023-07-17

Product(s): InfoScale & Storage Foundation (8.0.2)

Platform: AIX,HP-UX,Linux,Solaris,VMware ESX,Windows

xprtld のサードパーティ証明書のインポート

Veritas InfoScale Operations Manager (VIOM) により、Linux で実行される Management Server 上の xprtld サービスのサードパーティ証明書をインポートできます。エージェントのバージョンが 7.3.1 以降の場合は、AIX、Linux、Solaris の各エージェント用のサードパーティ証明書をインポートすることもできます。VIOM は、ポート 5634 で動作する xprtld のパスフレーズなしでサードパーティ証明書を使用することをサポートしています。ただし、サポートされるのは 2048 ビット証明書のみです。

xprtld のサードパーティ証明書を生成するには

次の openssl コマンドを使って、秘密鍵と証明書署名要求 (CSR) を生成します。
openssl req -newkey rsa:2048 -nodes -keyout sfmAgentPrivateKeyFileName -out sfmAgentCSRFileName
次に例を示します。
openssl req -newkey rsa:2048 -nodes -keyout sfm_agent.private.key -out sfm_agent.csr
openssl コマンドは CSR に追加する情報の一部を入力するよう求めるメッセージを表示します。次の例に示す値のとおり正確に指定します。
```
Country Name (2 letter code) [XX]: . 
State or Province Name (full name) []: . 
Locality Name (eg, city) [Default City]: . 
Organization Name (eg, company) [Default Company Ltd]: vx 
Organizational Unit Name (eg, section) []: sfm_domain@nameOfCMS 
Common Name (eg, your name or your server's hostname) []: sfm_agent 
Email Address []: 
```
メモ:
nameOfCMS 値は、中央管理サーバー (CMS) の /etc/default/sfm_resolv.conf ファイルに存在する cs_config_name 属性の値と正確に一致する必要があります。
CSR とともに送信されるこの追加情報に対して、次の例に示される値を正確に指定します。
```
A challenge password []: .
 An optional company name []:
```
CSR ファイル (たとえば sfm_agent.csr) を署名の認証局に送信し、対応する証明書を提供するように依頼します。証明書は、中間 CA 証明書とルート CA 証明書とともに pem 形式で指定する必要があります。また、SSL クライアントをサポートする必要もあります。ベリタスは、証明書に 10 年の有効期間、または可能な最大期間を割り当てることをお勧めします。
必要に応じて、次のコマンドを実行して、SSL クライアントのサポートなど、証明書の目的を確認します。
openssl x509 -purpose -noout -in sfmAgentCertFileName
次に例を示します。
openssl x509 -purpose -noout -in sfm_agent.cert.pem
Certificate purposes:
SSL client : Yes SSL client CA :No
SSL server : Yes SSL server CA :No
Netscape SSL server : Yes Netscape SSL server CA : No

Management Server に証明書をインポートする前に、必ず次のファイルを準備します。

ファイル	サンプルファイル名
`sfm_agent` のプライベートキーファイル	`sfm_agent.private.key`
`sfm_agent` の証明書ファイル	`sfm_agent.cert.pem`
中間 CA の証明書ファイル	`intermediate.cert.pem`
ルート CA の証明書ファイル	`ca.cert.pem`

Management Server とエージェントにサードパーティ証明書をインポートするには

前の手順の最後で説明したすべてのファイルを、Management Server の適切な場所 (/viom/certs/など) にコピーします。
次のコマンドを実行して、証明書をインポートします。
/opt/VRTSsfmh/bin/perl /opt/VRTSsfmh/util/import_sfm_agent_certificate.pl --import_sfm_agent_cert --sfm_agent_certificate=/viom/certs/sfmAgentCertificateFileName --sfm_agent_privatekey=/viom/certs/sfmAgentPrivateKeyFileName --subCA_certificate=/viom/certs/intermediateCertificateFileName --rootCA_certificate=/viom/certs/caCertificateFileName
次に例を示します。
/opt/VRTSsfmh/bin/perl /opt/VRTSsfmh/util/import_sfm_agent_certificate.pl --import_sfm_agent_cert --sfm_agent_certificate=/viom/certs/sfm_agent.cert.pem --sfm_agent_privatekey=/viom/certs/sfm_agent.private.key --subCA_certificate=/viom/certs/intermediate.cert.pem --rootCA_certificate=/viom/certs/ca.cert.pem
証明書はエージェントに自動的にインポートされます。
指示に従い、コマンドが表示するプロンプトに対して適切な入力を行います。
発生した状況に応じて、次のように対応します。
- 証明書のインポート処理により、Management Server 上のすべての VIOM サービスとすべての管理対象ホスト上の xprtld サービスが再起動されます。証明書が正常にインポートされた後、管理対象ホストがまだ新しい証明書を使用していない場合は、そのホストが複数の Management Servers に登録されているかどうかを確認します。登録されている場合は、この新しい証明書がインストールされているサーバー以外の管理サーバーから管理対象ホストの設定を解除して、ホストで xprtld サービスを再起動します。
- VIOM 7.3 以前のバージョンの管理対象ホストに証明書をインポートすることはできません。このようなホストを VIOM 8.0 以降のサポートされているバージョンにアップグレードしてから (Veritas InfoScale Operations Manager のハードウェアとソフトウェアの互換性リストのドキュメントを参照)、コマンドを実行して証明書を再びインポートします。
- Management Server からアクセスできない管理対象ホストには証明書をインポートできません。インポート処理が完了したら、アクセスできない管理対象ホストの接続の問題に対処します。その後、Management Server に管理対象ホストを再度追加します。新しい証明書が管理対象ホストに自動的にインストールされます。