Cluster Server 7.4.3 設定およびアップグレードガイド - Linux

Last Published:
Product(s): InfoScale & Storage Foundation (7.4.3)
Platform: Linux
  1. 第 I 部 スクリプトベースのインストーラを使った Cluster Server の設定
    1. I/O フェンシングの必要条件
      1. I/O フェンシングの必要条件
        1.  
          I/O フェンシングに必要なコーディネータディスクの条件
        2.  
          CP サーバーの必要条件
        3.  
          非 SCSI-3 I/O フェンシングの必要条件
    2. データ整合性のための VCS クラスタ設定の準備
      1. I/O フェンシング設定の計画について
        1.  
          ディスクベースの I/O フェンシングを使った典型的な VCS クラスタの設定
        2.  
        3.  
          推奨される CP サーバーの設定
      2. CP サーバーの設定
        1.  
          CP サーバー設定の計画
        2.  
          インストーラを使った CP サーバーのインストール
        3.  
          CP サーバーデータベースの共有ストレージの設定
        4.  
          インストーラプログラムを使った CP サーバーの設定
        5. CP サーバーの手動設定
          1.  
            HTTPS ベースの通信のための手動による CP サーバーの設定
          2.  
            CP サーバーのための手動によるキーと証明書の生成
          3.  
            CP サーバーの設定の完了
        6. 応答ファイルを使用した CP サーバーの設定
          1.  
            CP サーバーを設定するための応答ファイル変数
          2.  
            シングルノード VCS クラスタで CP サーバーを設定するためのサンプル応答ファイル
          3.  
            SFHA クラスタで CP サーバーを設定するためのサンプル応答ファイル
        7.  
          CP サーバーの設定の確認
    3. VCS の設定
      1.  
        製品インストーラを使って VCS を設定するタスクの概要
      2.  
        ソフトウェアの設定の開始
      3.  
        設定するシステムの指定
      4.  
        クラスタ名の設定
      5.  
        プライベートハートビートリンクの設定
      6.  
        クラスタの仮想 IP の設定
      7.  
        セキュアモードでの VCS の設定
      8.  
        VCS クラスタの信頼関係の設定
      9. ノード別のセキュアクラスタノードの設定
        1.  
          最初のノードの設定
        2.  
          残りのノードの設定
        3.  
          セキュアクラスタ設定の完了
      10.  
        VCS ユーザーの追加
      11.  
        SMTP 電子メール通知の設定
      12.  
        SNMP トラップ通知の設定
      13.  
        グローバルクラスタの設定
      14. VCS 設定の完了
        1.  
          NIC 設定の確認
      15.  
        Veritas ライセンス監査ツールについて
      16. システム上のライセンスの確認と更新
        1.  
          ライセンス情報の確認方法
        2.  
          VCS キーレスライセンスから別のキーレスライセンスへの更新
        3.  
          VCS キーレスライセンスから永続ライセンスへの更新
    4. データ整合性のための VCS クラスタの設定
      1. インストーラ を使ったディスクベース I/O フェンシングの設定
        1.  
          VxVM ディスクとしてのディスクの初期化
        2.  
          インストーラ を使ったディスクベースの I/O フェンシングの設定
        3.  
          インストーラ を使ってディスクベースのフェンシングの既存のコーディネーションポイント上のキーまたは登録を更新する
        4. I/O フェンシング用の共有ディスクの確認
          1.  
            ASL(Array Support Library)の確認
          2.  
            ノードに同じディスクへのアクセス権限があることを確認する
          3.  
            vxfentsthdw ユーティリティを使ったディスクのテスト
      2. インストーラを使ったサーバーベース I/O フェンシングの設定
        1.  
          インストーラ を使ってサーバーベースのフェンシングの既存のコーディネーションポイント上のキーまたは登録を更新する
        2. インストーラ を使ったサーバーベースのフェンシングに対する既存のコーディネーションポイントの順序の設定
          1.  
            既存のコーディネーションポイントの順序の決定について
          2.  
            インストーラ を使って既存のコーディネーションポイントの順序を設定する
      3.  
        インストーラ を使った仮想環境における非 SCSI-3 I/O フェンシングの設定
      4.  
        インストーラ を使ったマジョリティベース I/O フェンシングの設定
      5.  
        優先フェンシングポリシーの有効化と無効化
  2. 第 II 部 応答ファイルを使った自動設定
    1. VCS の自動設定の実行
      1.  
        応答ファイルを使った VCS の設定
      2.  
        VCS を設定するための応答ファイル変数
      3.  
        Cluster Server を設定するためのサンプル応答ファイル
    2. 応答ファイルを使用した自動 I/O フェンシング設定の実行
      1.  
        応答ファイルを使った I/O フェンシングの設定
      2.  
        ディスクベースの I/O フェンシングを設定するための応答ファイルの変数
      3.  
        ディスクベースの I/O フェンシングを設定するための応答ファイルの例
      4.  
        サーバーベースの I/O フェンシングを設定するための応答ファイルの変数
      5.  
        サーバーベースの I/O フェンシングを設定するためのサンプル応答ファイル
      6.  
        非 SCSI-3 I/O フェンシングを設定するための応答ファイルの変数
      7.  
        非 SCSI-3 I/O フェンシングを設定するための応答ファイルの例
      8.  
        マジョリティベース I/O フェンシングを設定するための応答ファイルの変数
      9.  
        過半数ベースの I/O フェンシングを設定するための応答ファイルの例
  3. 第 III 部 手動設定
    1. VCS の手動設定
      1.  
        VCS の手動設定について
      2. LLT の手動設定
        1.  
          手動インストールのための /etc/llthosts の設定
        2.  
          手動インストールのための /etc/llttab の設定
        3.  
          /etc/llttab ファイル内の LLT パラメータについて
        4.  
          手動インストールにおける LLT に関するその他の注意事項
      3.  
        GAB の手動設定
      4. VCS の手動設定
        1.  
          クラスタを手動で作成する場合のクラスタ UUID の設定
      5. シングルノードモードの VCS の設定
        1. 単一ノードクラスタでの LLT、GAB、I/O フェンシングの無効化
          1.  
            LLT、GAB、I/O フェンシングの無効化
        2.  
          LLT、GAB、I/O フェンシングの有効化
      6.  
        手動設定後の LLT、GAB、VCS の起動
      7.  
        VCS クラスタ設定ウィザードを使用したクラスタの設定について
      8.  
        VCS クラスタ設定ウィザードを使用して VCS クラスタを設定する前に
      9.  
        VCS クラスタ設定ウィザードの起動
      10.  
        VCS クラスタ設定ウィザードを使ったクラスタの設定
      11.  
        VCS クラスタへのシステムの追加
      12. VCS 設定の変更
        1.  
          ClusterService グループの設定
    2. データ整合性のためのクラスタの手動設定
      1. ディスクベースの I/O フェンシングの手動設定
        1.  
          コーディネータディスクとして使うディスクの特定
        2.  
          コーディネータディスクグループの設定
        3.  
          I/O フェンシングの設定ファイルの作成
        4.  
          I/O フェンシングを使うための VCS 設定の修正
        5.  
          I/O フェンシング設定の確認
      2. サーバーベースの I/O フェンシングの手動設定
        1.  
          CP サーバーを VCS クラスタ で使用するための手動による準備
        2.  
          クライアントノードにおけるクライアントキーと証明書の手動による生成
        3. VCS クラスタ上での手動によるサーバーベースのフェンシングの設定
          1.  
            サーバーベースのフェンシング用に出力される vxfenmode ファイルのサンプル
        4.  
          コーディネーションポイントを監視するための CoordPoint エージェントの設定
        5.  
          サーバーベースの I/O フェンシングの設定の検証
      3. 仮想環境での非 SCSI-3 フェンシングの手動設定
        1.  
          非 SCSI-3 フェンシングのサンプル /etc/vxfenmode ファイル
      4. マジョリティベースの I/O フェンシングの手動設定
        1.  
          I/O フェンシングの設定ファイルの作成
        2.  
          I/O フェンシングを使うための VCS 設定の修正
        3.  
          I/O フェンシング設定の確認
        4.  
          過半数ベースのフェンシングのサンプル /etc/vxfenmode ファイル
  4. 第 IV 部 VCS のアップグレード
    1. VCS のアップグレード計画
      1.  
        VCS 7.4.3 へのアップグレードについて
      2.  
        ローリングアップグレードについて
      3.  
        セキュアエンタープライズ環境での VCS のアップグレード
      4.  
        サポート対象のアップグレードパス
      5.  
        セキュリティ保護された VCS 6.x クラスタを VCS 7.4.3 にアップグレードするための注意事項
      6.  
        Oracle リソースを使って設定されたシステムで VCS を 7.4.3 にアップグレードする場合の注意事項
      7.  
        CP サーバーのアップグレードに関する注意事項
      8.  
        CP クライアントのアップグレードに関する注意事項
      9.  
        インストールバンドルを使ったフルリリース(ベース、メンテナンス、ローリングパッチ)と個々のパッチの同時インストールまたは同時アップグレード
    2. インストーラを使用した VCS アップグレードの実行
      1.  
        スクリプトベースのインストーラを使った VCS のアップグレードの前に
      2.  
        製品インストーラを使った VCS のアップグレード
      3.  
        製品インストーラを使用して、7.4.2 から 7.4.3 へのローリングアップグレードを実行する
      4.  
        2048 ビットキーと SHA256 署名証明書への のアップグレード
      5. 2048 ビットキーおよび SHA256 署名証明書へのアップグレード後に実行するタスク
        1.  
          2048 ビットキーおよび SHA256 署名証明書へのアップグレード後に root 以外のユーザーの証明書を削除
        2.  
          2048 ビットキーおよび SHA256 署名証明書へアップグレード後のグローバルクラスタ内の WAC 通信の再確立
        3.  
          2048 ビットキーおよび SHA256 署名証明書へアップグレード後に CP サーバーと CP クライアントの間の通信を再確立する
        4.  
          2048 ビットキーと SHA256 署名証明書にアップグレードした後に Steward で信頼を再確立する
      6.  
        2048 ビットキーと SHA256 署名証明書への Steward のアップグレード
    3. オンラインアップグレードの実行
      1.  
        オンラインアップグレードの制限
      2.  
        インストーラを使った VCS のオンラインアップグレード
    4. VCS の段階的アップグレードの実行
      1. 段階的アップグレードについて
        1.  
          段階的アップグレードの前提条件
        2.  
          段階的アップグレードの計画
        3.  
          段階的アップグレードの制限事項
        4.  
          段階的アップグレードの例
        5.  
          段階的アップグレードの例についての概要
      2. 製品インストーラを使った段階的アップグレードの実行
        1.  
          2 番目のサブクラスタへのサービスグループの移動
        2.  
          1 番目のサブクラスタでのオペレーティングシステムのアップグレード
        3.  
          1 番目のサブクラスタのアップグレード
        4.  
          2 番目のサブクラスタの準備
        5.  
          1 番目のサブクラスタのアクティブ化
        6.  
          2 番目のサブクラスタでのオペレーティングシステムのアップグレード
        7.  
          2 番目のサブクラスタのアップグレード
        8.  
          段階的アップグレードの終了
    5. 応答ファイルを使用した VCS 自動アップグレードの実行
      1.  
        応答ファイルを使った VCS のアップグレード
      2.  
        VCS をアップグレードするための応答ファイルの変数
      3.  
        VCS の完全アップグレードのためのサンプル応答ファイル
      4.  
        VCS を 7.4.2 から 7.4.3 にローリングアップグレードするためのサンプル応答ファイル
  5. 第 V 部 クラスタノードの追加と削除
    1. シングルノードクラスタへのノードの追加
      1. シングルノードクラスタへのノードの追加
        1. シングルノードクラスタと結合させるノードの設定
          1.  
            VxVM と VxFS のインストール(オプション)
        2.  
          プライベートネットワーク用のイーサネットカードの取り付けと設定
        3.  
          共有ストレージの設定
        4.  
          既存ノードの起動
        5.  
          設定ファイルの作成
        6.  
          LLT と GAB の起動
        7.  
          既存ノードでの VCS の再設定
        8.  
          両方のノードの設定の検証
    2. マルチノード VCS クラスタへのノードの追加
      1.  
        VCS インストーラを使ったノードの追加
      2. 手動によるクラスタへのノードの追加
        1.  
          ハードウェアの設定
        2.  
          ノード追加時の手動による VCS ソフトウェアのインストール
        3. セキュアモードで動作するノードの設定
          1.  
            sys5 ノードでの認証ブローカーの設定
        4.  
          クラスタにノードを追加するときの LLT および GAB の設定
        5. 新しいノードでの I/O フェンシングの設定
          1.  
            新しいノードでの I/O フェンシング設定の準備
          2. 新しいノードでのサーバーベースのフェンシングの設定
            1.  
              vxfen サービスグループへの新しいノードの追加
          3.  
            新しいノードでの I/O フェンシングの開始
        6.  
          既存のクラスタへのノードの追加
        7.  
          VCS の起動とクラスタの検証
        8. 応答ファイルを使ったノードの追加
          1.  
            VCS クラスタにノードを追加するための応答ファイルの変数
          2.  
            ノードを VCS クラスタに追加するための応答ファイルの例
    3. VCS クラスタからのノードの削除
      1. VCS クラスタからのノードの削除
        1.  
          ノードとサービスグループの状態の確認
        2.  
          VCS 設定から切り離されるノードの削除
        3.  
          残りの各ノードでの設定ファイルの修正
        4.  
          CP サーバーからのノード設定の削除
        5.  
          削除するノードからセキュリティのクレデンシャルを削除する
        6.  
          切り離されるノードでの LLT と GAB のアンロードと Veritas InfoScale Availability または Enterprise の削除
  6. 第 VI 部 インストールの参考情報
    1. 付録 A. サービスとポート
      1.  
        InfoScale Enterprise サービスとポートについて
    2. 付録 B. 設定ファイル
      1.  
        LLT と GAB の設定ファイルについて
      2.  
        AMF 設定ファイルについて
      3. VCS 設定ファイルについて
        1.  
          VCS クラスタの main.cf ファイルの例
        2.  
          グローバルクラスタのためのサンプル main.cf ファイル
      4.  
        I/O フェンシングの設定ファイルについて
      5. CP サーバーの設定ファイルの例
        1.  
          VCS を実行するシングルノードでホストされる CP サーバーの main.cf ファイルの例
        2.  
          2 ノード SFHA クラスタでホストされる CP サーバーの main.cf ファイルの例
        3.  
          CP サーバーの設定(/etc/vxcps.conf)ファイル出力のサンプル
      6. FSS 環境での LLT 変数のチューニング
        1.  
          RDMA リンクの LLT 変数をチューニングするには
        2.  
          イーサネットリンクの LLT 変数をチューニングするには
        3. I/O 転送用パラレルポートの設定
          1.  
            I/O 転送の LLT 変数をチューニングするには
    3. 付録 C. UDP 上での LLT の設定
      1. LLT での UDP 層の使用
        1.  
          UDP 上で LLT を使う状況
      2. IPv4 を使った UDP 上での LLT の手動設定
        1.  
          /etc/llttab ファイルのブロードキャストアドレス
        2.  
          /etc/llttab ファイルの link コマンド
        3.  
          /etc/llttab ファイルの set-addr コマンド
        4.  
          UDP ポートの選択
        5.  
          LLT でのサブネットマスクの設定
        6.  
          LLT 用ブロードキャストアドレスの設定
        7.  
          設定例: 直接接続リンク
        8.  
          設定例: IP ルーター越しのリンク
      3. IPv6 を使った UDP 上での LLT の手動設定
        1.  
          /etc/llttab ファイルの link コマンド
        2.  
          /etc/llttab ファイルの set-addr コマンド
        3.  
          UDP ポートの選択
        4.  
          設定例: 直接接続リンク
        5.  
          設定例: IP ルーター越しのリンク
      4.  
        /etc/llttab 内の UDP 上での LLT の例
      5. UDP マルチポート上での LLT の設定について
        1.  
          UDP マルチポートを介した LLT の手動設定
        2.  
          ファイアウォールで LLT ポートを有効にする
        3.  
          UDP マルチポート機能の無効化
    4. 付録 D. TCP 上での LLT の設定
      1.  
        LLT での TCP 層の使用
      2. IPv4 を使用した TCP 上での LLT の手動設定
        1.  
          /etc/llttab ファイルのブロードキャストアドレス
        2.  
          /etc/llttab ファイルの link コマンド
        3.  
          /etc/llttab ファイルの set-addr コマンド
        4.  
          TCP ポートの選択
        5.  
          LLT でのサブネットマスクの設定
        6.  
          LLT 用ブロードキャストアドレスの設定
        7.  
          設定例: 直接接続リンク
        8.  
          設定例: IP ルーターを介したリンク
      3. IPv6 を使用した TCP 上での LLT の手動設定
        1.  
          /etc/llttab ファイルの link コマンド
        2.  
          /etc/llttab ファイルの set-addr コマンド
        3.  
          TCP ポートの選択
        4.  
          設定例: 直接接続リンク
        5.  
          設定例: IP ルーター越しのリンク
      4.  
        /etc/llttab 内の TCP 上の LLT の例
    5. 付録 E. LLT リンクの IPv4 から IPv6 またはデュアルスタックへの移行
      1.  
        IPv4 から IPv6 またはデュアルスタックネットワークへの LLT リンクの移行について
      2.  
        現在の設定を確認する
      3.  
        移行のための前提条件を満たす
      4.  
        既存のクラスタに新しいノードを追加する
      5.  
        IPv4 を使用して UDP 上で設定されている LLT を IPv6 またはデュアルスタックに移行する
      6.  
        IPv4 を使用して TCP 上で設定されている LLT を IPv6 またはデュアルスタックに移行する
    6. 付録 F. RDMA 上での LLT の使用
      1.  
        RDMA 上での LLT の使用
      2.  
        クラスタ環境の RoCE または InfiniBand ネットワーク上の RDMA について
      3.  
        アプリケーション間のより高速の相互接続のための LLT での RDMA 機能のサポートについて
      4.  
        RDMA 上の LLT の使用: サポート対象の使用例
      5. RDMA 上の LLT の設定
        1.  
          RDMA 上の LLT に対するサポート対象ハードウェアの選択
        2.  
          RDMA、InfiniBand またはイーサネットドライバおよびユーティリティのインストール
        3. イーサネットネットワーク上の RDMA の設定
          1.  
            RoCE(RDMA over Converged Ethernet)の有効化
          2.  
            RDMA と Ethernet ドライバの設定
          3.  
            Ethernet インターフェースでの IP アドレスの設定
        4. InfiniBand ネットワーク上の RDMA の設定
          1.  
            RDMA と InfiniBand ドライバの設定
          2.  
            OpenSM サービスの設定
          3.  
            InfiniBand インターフェース上の IP アドレスの設定
        5. システムパフォーマンスのチューニング
          1.  
            CPU 周波数のチューニング
          2.  
            ブートパラメータ設定のチューニング
        6. RDMA 上の LLT の手動設定
          1.  
            /etc/llttab ファイルのブロードキャストアドレス
          2.  
            /etc/llttab ファイルの link コマンド
          3.  
            UDP ポートの選択
          4.  
            LLT でのサブネットマスクの設定
          5.  
            設定例: 直接接続リンク
        7.  
          /etc/llttab 内の RDMA 上の LLT の例
        8.  
          LLT 設定の確認
      6. RDMA 上の LLT のトラブルシューティング
        1.  
          RDMA NIC に関連付けられた IP アドレスがノード再起動時に自動的に設定されない
        2.  
          Ping テストが InfiniBand インターフェース上で設定されている IP アドレスに対し失敗する
        3.  
          ノード再起動後、デフォルトでは Virtual Protocol Interconnect(VPI)を持つ Mellanox カードが InfiniBand モードで設定される
        4.  
          LLT モジュールが開始しない
    7. 付録 G. セキュアシェルまたはリモートシェルの通信用の設定
      1.  
        製品インストール前のセキュアシェルまたはリモートシェル通信モードの設定について
      2.  
        パスワードなし ssh の手動設定
      3.  
        installer -comsetup コマンドを使用した ssh および rsh 接続の設定
      4.  
        pwdutil.pl ユーティリティを使用した ssh および rsh 接続の設定
      5.  
        ssh セッションの再起動
      6.  
        Linux の rsh の有効化
    8. 付録 H. インストールスクリプトオプション
      1.  
        インストールスクリプトオプション
    9. 付録 I. VCS の設定のトラブルシューティング
      1.  
        ネットワーク接続に失敗した後のインストーラの再起動
      2.  
        クラスタ表示リンクを起動できない
      3.  
        Veritas InfoScale 製品のプロセスの開始と停止
      4.  
        インストーラでクラスタの UUID を作成できない
      5.  
        LLT 起動スクリプトでエラーが表示される
      6.  
        SCSI TEST UNIT READY コマンドが失敗すると、vxfentsthdw ユーティリティが失敗する
      7.  
        GAB プログラムが既存の iptable ルールを含んでいる正しくないメンバーシップ結果を報告する
      8.  
        サーバーベースのフェンシング用に設定された VCS クラスタ ノードでのフェンシング起動時の問題
    10. 付録 J. CP サーバーベースの I/O フェンシングのためのサンプル VCS クラスタ設定図
      1. サーバーベース I/O フェンシングを設定する場合の構成図
        1.  
          3 台の CP サーバーによって機能する 2 つの一意なクライアントクラスタ
        2.  
          高可用性 CPS と 2 台の SCSI-3 ディスクによって機能するクライアントクラスタ
        3.  
          リモート CP サーバーと 2 台の SCSI-3 ディスクによって機能する 2 ノードキャンパスクラスタ
        4.  
          高可用性 CP サーバーと 2 台の SCSI-3 ディスクによって機能する複数のクライアントクラスタ
    11. 付録 K. Steward プロセスのアップグレード
      1.  
        Steward プロセスのアップグレード

CP サーバーのための手動によるキーと証明書の生成

CP サーバーは HTTPS プロトコルを使用してクライアントノードとの安全な通信を確立します。 HTTPS は通信の安全な手段であり、SSL/TLS プロトコルを使用して確立された安全な通信チャネルを介して行われます。

HTTPS は x509 規格の証明書を使用し、PKI(Public Key Infrastructure)に基づいて CP サーバーとクライアント間の安全な通信を確立します。 PKI と同様、CP サーバーとそのクライアントには CA(認証局)によって署名された固有の証明書一式があります。サーバーとそのクライアントは証明書を信頼します。

すべての CP サーバーはそれ自体、およびそのすべてのクライアントノードに対する証明局として機能します。CP サーバーには固有の CA キーと CA 証明書、およびサーバーの専用キーから生成されたサーバー証明書があります。 サーバー証明書は CP サーバーの UUID(汎用一意識別子)に対して発行されます。 CP サーバーが応答するすべての IP アドレスまたはドメイン名は CP サーバーのサーバー証明書にある Subject Alternative Name セクションで言及されています。

キーまたは証明書を作成するには CP サーバーに OpenSSL ライブラリがインストールされている必要があります。OpenSSL がインストールされていないと、キーおよび証明書を作成できません。SSL が起動したときにどのキーまたは証明書を CP サーバーで使用するかを決める設定ファイルが vxcps.conf ファイルによって指定されます。設定値は ssl_conf_file に保存されており、デフォルト値は /etc/vxcps_ssl.properties です。

手動で CP サーバーのキーと証明書を生成するには

  1. CP サーバーにセキュリティファイル用のディレクトリを作成します。

    # mkdir -p /var/VRTScps/security/keys /var/VRTScps/security/certs

  2. VIP を含む OpenSSL 構成ファイルを生成します。

    CP サーバーはこれらの VIP のクライアントノードからの要求に応答します。サーバー証明書には VIP、FQDN、CP サーバーのホスト名が含まれます。 クライアントはこれらの値のいずれかを使用することによって CP サーバーにアクセスできます。 ただし、クライアントノードが IP アドレスを使って CP サーバーと通信することを推奨します。

    設定例では次の値を使用します。

    • 設定ファイル名: https_ssl_cert.conf

    • VIP: 192.168.1.201

    • FQDN: cpsone.company.com

    • ホスト名: cpsone

    設定ファイルの [alt_names] セクションで使用されている IP アドレス、VIP、FQDN 値はサンプル値です。サンプル値を任意の設定値に置き換えます。設定ファイルのその他の値は変更しないでください。

    [req]
distinguished_name = req_distinguished_name
req_extensions = v3_req

[req_distinguished_name]
countryName = Country Name (2 letter code)
countryName_default = US
localityName = Locality Name (eg, city)
organizationalUnitName = Organizational Unit Name (eg, section)
commonName = Common Name (eg, YOUR name)
commonName_max = 64
emailAddress = Email Address
emailAddress_max = 40

[v3_req] 
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1 = cpsone.company.com
DNS.2 = cpsone
DNS.3 = 192.168.1.201
  3. CA 証明書を作成するのに使用される 4096 ビット CA キーを生成します。

    キーは /var/VRTScps/security/keys/ca.key に格納する必要があります。キーは偽証明書の作成に誤用され、セキュリティが損なわれる可能性があるので、root ユーザーだけが CA キーにアクセスできるようにしてください。

    # /opt/VRTSperl/non-perl-libs/bin/openssl genrsa -out /var/VRTScps/security/keys/ca.key 4096

  4. 自己署名の CA 証明書を作成します。

    # /opt/VRTSperl/non-perl-libs/bin/openssl req -new -x509 -days days -sha256 -key /var/VRTScps/security/keys/ca.key -subj \

    '/C=countryname/L=localityname/OU=COMPANY/CN=CACERT' -out \

    /var/VRTScps/security/certs/ca.crt

    ここで、days は希望する証明書の有効日数、countryname は国名、localityname は市、CACERT は証明書の名前です。

  5. CP サーバーの 2048 ビットの専用キーを生成します。

    キーは /var/VRTScps/security/keys/server_private key に格納する必要があります。

    # /opt/VRTSperl/non-perl-libs/bin/openssl genrsa -out \

    /var/VRTScps/security/keys/server_private.key 2048

  6. サーバー証明書の CSR(Certificate Signing Request)を生成します。

    証明書の CN(Certified Name)は CP サーバーの UUID です。

    # /opt/VRTSperl/non-perl-libs/bin/openssl req -new -sha256 -key /var/VRTScps/security/keys/server_private.key \

    -config https_ssl_cert.conf -subj \

    '/C=CountryName/L=LocalityName/OU=COMPANY/CN=UUID' \

    -out /var/VRTScps/security/certs/server.csr

    ここで、countryname は国名、localityname は市、 UUID は CN です。

  7. CA のキー証明書を使ってサーバー証明書を生成します。

    # /opt/VRTSperl/non-perl-libs/bin/openssl x509 -req -days days -sha256 -in /var/VRTScps/security/certs/server.csr \

    -CA /var/VRTScps/security/certs/ca.crt -CAkey \

    /var/VRTScps/security/keys/ca.key \

    -set_serial 01 -extensions v3_req -extfile https_ssl_cert.conf \

    -out /var/VRTScps/security/certs/server.crt

    ここで、days は希望する証明書の有効日数、https_ssl_cert.conf は設定ファイル名です。

    CP サーバーに必要なキーと証明書の作成が完了しました。

  8. root ユーザー以外のユーザーがキーおよび証明書を見ることができないようにしてください。
  9. CP サーバーの設定を完了します。

詳細情報

CP サーバーの設定の完了