Veritas NetBackup™ Appliance セキュリティガイド
サードパーティの SSL 証明書の実装
このセクションの手順を使用して、NetBackup Appliance 層の外部 (サードパーティ) 証明書を手動で配備および構成します。 NetBackup Appliance で使用される各種の証明書については、次の表を参照してください。
表: サードパーティの証明書の種類
|
証明書の種類 |
説明 |
|---|---|
|
アプライアンスホスト証明書 |
アプライアンスホスト証明書は、X.509 または PKCS#7 標準に基づいています。証明書は、DER (バイナリ) または PEM (テキスト) 形式でエンコードされます。長さ 2048 ビット以上の RSA パブリックキーとプライベートキーを使用することをお勧めします。 メモ: 証明書のサブジェクトフィールドの CN 部分で、必ずアプライアンスの完全修飾ホスト名を指定します。 証明書拡張の SubjectAlternativeName に、アプライアンスに到達できるすべてのアプライアンスのホスト名と IP アドレスが含まれている必要があります。完全修飾ホスト名と短縮名を含める必要があります。 |
|
アプライアンスのホストのプライベートキー (ホスト証明書に対応) |
アプライアンスホストのプライベートキーは、PKCS#8 標準に従い、PEM 形式でエンコードされている必要があります。暗号化のパスフレーズとして appliance を使用することをお勧めします。他のパスフレーズを使用すると、アップグレード時に証明書が置き換えられた後、MongoDB への接続時に問題が発生する可能性があります。 |
|
(オプション) 中間 CA 証明書 |
中間 CA 証明書は、アプライアンスホスト証明書からルート CA 証明書への証明連鎖を構成する証明書です。これらの証明書は、ホスト証明書がルート CA 以外の CA によって発行されている場合にのみ必要になります。 |
|
ルート CA 証明書 |
これには、アプライアンス証明連鎖とそのピアのルート CA 証明書が含まれます。アプライアンスが異なる認証局の証明書を持つホストと通信する必要がある場合は、cacerts.pem という名前のファイルで、これらの中間 CA 証明書とルート CA 証明書をすべて準備する必要があります。 |
メモ:
アプライアンスホスト証明書、プライベートキー、および中間 CA 証明書は、すべて 1 つの PEM ファイルに含めることができます。
サードパーティの証明書をインストールする前に、前提条件を読み、必要な手順を実行したことを確認してください。
NetBackup Appliance にサードパーティの証明書を実装するには、ルートアカウントでログインする必要があります。メンテナンスアカウントにアクセスし、Symantec Data Center Security を上書きし、ルートアカウントでログインする権限があることを確認します。
エラーを防ぐには、証明書ファイルが次の条件を満たしていることを確認します。
すべての証明書ファイルには
.pemまたは.cerの接尾辞が必要です。また、証明書の先頭に "-----BEGIN CERTIFICATE-----" を含める必要があります。すべての証明書ファイルで、証明書の SAN (サブジェクトの別名) フィールドにホスト名と FQDN が含まれている必要があります。証明書を HA 環境で使用する場合、SAN フィールドには VIP、ホスト名、および FQDN が含まれている必要があります。
サブジェクト名フィールドと一般名フィールドを空のままにすることはできません。
サブジェクトフィールドは、各ホストで一意である必要があります。
サブジェクトフィールドには、最大 255 文字を含めることができます。
サーバーとクライアントの認証属性を証明書に設定する必要があります。
証明書のサブジェクトフィールドおよび SAN フィールドでは、ASCII 7 文字のみを使用できます。
プライベートキーは PKCS#8 PEM 形式で、先頭に -----BEGIN ENCRYPTED PRIVATE KEY----- または -----BEGIN PRIVATE KEY----- というヘッダー行が含まれている必要があります。
NetBackup Appliance の Web サービスでは、PKCS#12 標準を使用します。また、証明書ファイルを X.509 (.pem) 形式にする必要があります。証明書とプライベートキーを他の形式で取得した場合は、まず X.509 (.pem) 形式に変換する必要があります。証明書ファイルを OpenSSL を利用して必要な形式に変換する手順については、次の表を参照してください。OpenSSL は http://www.openssl.org からダウンロードできます。
表: 証明書ファイルを必要な形式に変換する手順
|
証明書ファイルの形式 |
証明書ファイルの接尾辞 |
証明書ファイルを必要な形式に変換する手順 |
|---|---|---|
|
DER |
.DER または .der |
DER 形式を X.509 (.pem) 形式に変換するには、次のコマンドを使用します。 openssl x509 -inform der -in cert.der -outform pem -out cert.pem |
|
.p7b |
証明書ファイルに「---BEGIN PKCS7 - 」文字列が含まれていない場合は、次のコマンドを使用して X.509 (.pem) 形式に変換します。 openssl pkcs7 -inform der -in cacerts.der.p7b -out cacerts.p7b openssl pkcs7 -print_certs -in cacerts.p7b -out cacerts.pem | |
|
p7b |
.p7b |
証明書ファイルに「---BEGIN PKCS7 - 」文字列が含まれている場合は、次のコマンドを使用して X.509 (.pem) 形式に変換します。 openssl pkcs7 -print_certs -in cacerts.p7b -out cacerts.pem |
アプライアンスのホスト証明書、アプライアンスのホストのプライベートキー、ルート CA 証明書ファイルの名前がそれぞれ server.pem、serverkey.pem、cacerts.pem である場合、NetBackup Appliance でサードパーティの証明書を構成するには、次の手順を実行します。
サードパーティの証明書は、Java KeyStore (JKS) に格納されます。JKS は、Tomcat Web サーバーなどの Java ベースのサービスで使用されるセキュリティ証明書のリポジトリです。
ルート CA SSL 証明書は、NetBackup Web Management Console で使用される Java トラストストアにロードされます。このトラストストアは、NetBackup カタログバックアップの一部です。
NetBackup Appliance の既存の Java KeyStore およびトラストストアに証明書ファイルをインストールするには、次の手順を実行します。
- SSH を使用してメンテナンスアカウントにログオンし、Symantec Data Center Security の保護を上書きします。
- ルートアカウントを使用してアプライアンスにログオンします。
- アプライアンスのホスト証明書、プライベートキー、および CA 証明書ファイルを
/tmpなどの一時ディレクトリにコピーします。 - すべての証明書ファイルが X.509 PEM 形式であることを確認します。通常、これらのファイルには
.pemまたは.cerの接尾辞があり、証明書の先頭には -----BEGIN CERTIFICATE----- というヘッダー行が含まれています。証明書ファイルを必要な形式に変換する手順については、「前提条件」セクションを参照してください。 - PEM 形式の X.509 証明書 (server.pem) とプライベートキー (serverkey.pem) を、CA 証明書ファイル cacerts.pemを使用して PKCS#12 形式に変換します。次のコマンドを入力します。
openssl pkcs12 -export -in server.pem -inkey serverkey.pem -out server.p12 -name tomcat -CAfile cacerts.pem -caname root
メモ:
OpenSSL コマンドでインポートパスワードの入力を求められたら、プライベートキーのパスフレーズを入力します。エクスポートパスワードの入力を求められたら、appliance と入力します。
- NetBackup Appliance の Web サービスの KeyStore ファイルを次のように作業ディレクトリにコピーします。
cp /opt/apache-tomcat/security/keystore ./keystore
- PKCS#12 ファイル (server.p12) を Java KeyStore にインポートするには、コマンド keytool -importkeystore -deststorepass appliance -destkeypass appliance -destkeystore keystore -srckeystore server.p12 -srcstoretype PKCS12 -srcstorepass appliance -alias tomcat を入力します。
例外の発生を防ぐために、次のことを確認します。
-deststorepass オプションと -destkeypass オプションのパスワードとして appliance を指定します。パスワードに使用できるのは英数字のみです。
-alias オプションに tomcat を指定します。
- 次のコマンドを実行して、すべての DNS 値が Java KeyStore のエントリに正しく適用されていることを確認します。
keytool -list -v -alias tomcat -keystore keystore -storepass appliance
- cacerts.pem CA 証明書ファイルの下部に、ルート CA 証明書までの中間 CA 証明書 (ある場合) のチェーンが含まれていることを確認します。
- CA 証明書ファイル
cacerts.pemを Java トラストストアにインポートします。Java トラストストアは NetBackup Web Management Console で使用されます。次のコマンドを入力します。keytool -import -noprompt -trustcacerts -file cacerts.pem -alias vxosrootcachain -keystore keystore -storepass appliance
cacerts.pemファイルが複数の中間 CA 証明書で構成されている場合は、証明書内の -----BEGIN CERTIFICATE----- タグと -----END CERTIFICATE----- タグに従って、証明書を別々のファイルに分割します。そうすることで、CA 証明書ファイルごとにコマンドを実行できます。keytool -import -noprompt -trustcacerts -file cacertn.pem alias vxosrootcachain[n] -keystore keystore -storepass appliance
cacertn は個々の証明書ファイル (たとえば、cacert1.pem、cacert2.pem、...、cacertn.pem) を表します。
データベースと関連するサービスをシャットダウンするには、次のコマンドを入力します。
systemctl stop nginx service as-alertmanager stop service as-analyzer stop service as-transmission stop /opt/IMAppliance/scripts/infraservices.sh webserver stop /opt/IMAppliance/scripts/infraservices.sh database stop
Tomcat Web サーバーに新しい KeyStore をインストールするには、次の手順を実行します。
- 次のコマンドを使用して、既存の Web サーバーの KeyStore ファイルをバックアップします。
cp /opt/apache-tomcat/security/keystore /opt/apache-tomcat/security/keystore.orig
- 既存の KeyStore ファイルを新しい KeyStore ファイルで置換します。
cp ./keystore /opt/apache-tomcat/security/keystore
- 次のコマンドを使用して、新しい KeyStore ファイルの権限を設定します。
chmod 700 /opt/apache-tomcat/security chmod 600 /opt/apache-tomcat/security/keystore chown -R tomcat:tomcat /opt/apache-tomcat/security
次の手順を実行します。
- 証明書ファイルを /etc/vxos-ssl/servers/certs にコピーします。
cp serverkey.pem /etc/vxos-ssl/servers/certs cp server.pem /etc/vxos-ssl/servers/certs cp cacerts.pem /etc/vxos-ssl/servers/certs
- プライベートキー (serverkey.pem) と証明書 (server.pem) を連結します。
cat /etc/vxos-ssl/servers/certs/server.pem >> /etc/vxos-ssl/servers/certs/serverkey.pem
- 証明書ファイルに必要なファイル権限を次のように設定します。
chown root:infra /etc/vxos-ssl/servers/certs/serverkey.pem chown root:infra /etc/vxos-ssl/servers/certs/server.pem chown root:infra /etc/vxos-ssl/servers/certs/cacerts.pem chmod 440 /etc/vxos-ssl/servers/certs/serverkey.pem chmod 440 /etc/vxos-ssl/servers/certs/server.pem chmod 440 /etc/vxos-ssl/servers/certs/cacerts.pem
- 正しい証明書ファイルが使用されるようにするには、
/etc/vxos-ssl/servers/certs/にある証明書ファイルの名前が短縮名の形式になっていることを確認し、ファイルの名前を完全修飾ドメイン名 (FQDN) 形式に変更します。たとえば、<ServerName>.<DomainName>.com--self.cert.pemを<ServerName>--self.cert.pemに変更します。次のコマンドを使用します。rm /etc/vxos-ssl/servers/certs/<FQDN_hostname>-self.cert.pem cp /etc/vxos-ssl/servers/certs/<short_hostname>.cert.pem /etc/vxos-ssl/servers/certs/<FQDN_hostname>-self.cert.pem tpconfig -delete -nb_appliance <short_hostname>
/etc/vxos-ssl/servers/certs/にある証明書ファイルが/usr/openv/var/global/appliance_certificates/と同じかどうかを確認します
MongoDB でサードパーティの SSL 証明書を構成するには、次の手順を実行します。
/etc/mongod.confで PEMKeyFile を含む行を編集し、/etc/vxos-ssl/servers/certs/serverkey.pemを追加します。/etc/mongod.confで PEMKeyPassword を含む行を編集し、プライベートキーのパスフレーズを追加します。/etc/vxos-ssl/cert.confを編集し、次の内容を追加します。server_cert=/etc/vxos-ssl/servers/certs/serverkey.pem client_cert=/etc/vxos-ssl/servers/certs/cacerts.pem pem_password=<passphrase of the private key>
- 次のコマンドを入力して、MongoDB と Web サービスを起動します。
/opt/IMAppliance/scripts/infraservices.sh database start /opt/IMAppliance/scripts/infraservices.sh webserver start
NGINX ゲートウェイでサードパーティの SSL 証明書を構成するには、次の手順を実行します。
/etc/nginx/conf.d/appsol.confが書き込み可能であることを確認します。ssl_certificate と ssl_certificate_key を含む行を編集して、証明書と (証明書と連結した) プライベートキーを指定します。
ssl_certificate /etc/vxos-ssl/servers/certs/server.pem; ssl_certificate_key /etc/vxos-ssl/servers/certs/serverkey.pem;
/etc/nginx/locations/appsol.confが書き込み可能であることを確認します。proxy_ssl_certificate と proxy_ssl_certificate_key を含む行を編集して、証明書と (証明書と連結した) プライベートキーを指定します。
proxy_ssl_certificate /etc/vxos-ssl/servers/certs/server.pem; proxy_ssl_certificate_key /etc/vxos-ssl/servers/certs/serverkey.pem;
- 次のコマンドを入力して、NGINX サーバーを起動します。
systemctl start nginx
次のコマンドを入力して、自動サポートサービスを起動します。
service as-alertmanager start service as-analyzer start service as-transmission start
NetBackup Appliance メディアサーバー (バージョン 3.1.2 以降で、異なる CA が署名したサードパーティ証明書を使用している) に関連付けられている各マスターサーバーの場合は、配備する必要があるサードパーティの各ルート CA SSL 証明書に対して、各マスターサーバーで次のコマンドを実行します。
アプライアンスマスターサーバーまたは UNIX ベース (非アプライアンス) のマスターサーバーの場合は、次のコマンドを実行します。
/usr/openv/java/jre/bin/keytool -importcert -storepass `cat /usr/openv/var/global/jkskey` -keystore /usr/openv/var/global/wsl/credentials/truststoreMSDP -file <path to root CA certificate file> -alias <descriptive label for root CA certificate>
Windows ベース (非アプライアンス) のマスターサーバーの場合は、テキストエディタ、シェル、または type などのコマンドユーティリティを使用して、
\Program Files\Veritas\NetBackup\var\global\jkskeyに格納されているjkskeyファイルを読み取ります。次のコマンドを実行して、KeyStore のパスワードを置き換えます。\Program Files\Veritas\NetBackup\jre\bin\keytool" -importcert -keystore "C:\Program Files\Veritas\NetBackup\var\global\wsl\credentials\truststoreMSDP" -storepass <keystore password> -file "<path to root CA certificate file>" -alias <descriptive label for root CA certificate>
メモ:
jkskeyファイルには、NetBackup Web Management Console で使用される Java KeyStore ファイルの NetBackup パスワードが含まれています。jkskeyファイルに変更を加えると、システム障害が発生する可能性があります。
サードパーティの証明書を使用して配備されたアプライアンスで Copilot 機能を使用する前に、次のことを確認してください。
アプライアンスの証明書ファイル (
/etc/vxos-ssl/servers/certs/) が、マスターサーバーの証明書ファイル (/usr/openv/var/global/appliance_certificates/) と同じである。アプライアンスの証明書ファイル (
/etc/vxos-ssl/servers/certs/) に<FQDN_hostname>-self.cert.pemという形式の名前が付いている。
関連付けられている各アプライアンスで、次のコマンドを実行します。
rm /etc/vxos-ssl/servers/certs/<FQDN_hostname>-self.cert.pem cp /etc/vxos-ssl/servers/certs/server.pem /etc/vxos-ssl/servers/certs/<FQDN_hostname>-self.cert.pem tpconfig -delete -nb_appliance <Short_hostname> /opt/NBUAppliance/scripts/copilot_users.pl --add