Veritas NetBackup™ Appliance 管理者ガイド
- 概要
- NetBackup Appliance の監視
- NetBackup Appliance Web コンソールから行う NetBackup Appliance の管理
- ストレージの構成概要
- [管理 (Manage)] > [ストレージ (Storage)] > [ユニバーサル共有 (Universal Shares)]
- Copilot の機能と共有の管理について
- Show コマンドを使ったストレージ領域情報の表示について
- アプライアンスのサポート対象テープデバイスについて
- アプライアンスに対するホストパラメータの構成について
- 管理 (Manage) > アプライアンスのリストア (Appliance Restore)
- [管理 (Manage)]>[ライセンス (License)]
- 移行ユーティリティについて
- NetBackup Appliance のソフトウェアリリース更新
- EEB のインストールについて
- NetBackup 管理コンソールとクライアントソフトウェアのインストールについて
- 管理 (Manage) > 追加サーバー (Additional Servers)
- [管理 (Manage )] > [高可用性 (High Availability)]
- NetBackup Appliance シェルメニューを使った NetBackup Appliance の管理
- NetBackup Appliance の設定について
- [設定 (Settings)] > [通知 (Notifications)]
- [設定 (Settings)]>[ネットワーク (Network)]
- [設定 (Settings)] > [認証 (Authentication)]
- ユーザー認証の設定について
- NetBackup Appliance ユーザーの認可について
- [設定 (Settings)]>[認証 (Authentication)]>[LDAP]
- [設定 (Settings)] > [認証 (Authentication)] > [Active Directory]
- [設定 (Settings)] > [認証 (Authentication)] > [Kerberos NIS]
- [設定 (Settings)] > [認証 (Authentication)] > [サーバーの構成 (Server Configuration)]
- トラブルシューティング
- 重複排除プールカタログのバックアップとリカバリ
サードパーティの SSL 証明書の実装
このセクションの手順を使用して、NetBackup Appliance 層の外部証明書を手動で配備および構成します。NetBackup と NetBackup Appliance の両方に同じ外部証明書を配備する必要があります。NetBackup と NetBackup Appliance 層に個別の証明書はサポートされていないことに注意してください。
NetBackup Appliance で使用される各種の証明書については、次の表を参照してください。
表: サードパーティの証明書の種類
証明書の種類 |
説明 |
---|---|
アプライアンスホスト証明書 |
アプライアンスホスト証明書は、X.509 または PKCS#7 標準に基づいています。証明書は、DER (バイナリ) または PEM (テキスト) 形式でエンコードされます。長さ 2048 ビット以上の RSA パブリックキーとプライベートキーを使用することをお勧めします。 メモ: 証明書のサブジェクトフィールドの CN 部分で、必ずアプライアンスの完全修飾ホスト名を指定します。 証明書拡張の SubjectAlternativeName に、アプライアンスに到達できるすべてのアプライアンスのホスト名と IP アドレスが含まれている必要があります。完全修飾ホスト名と短縮名を含める必要があります。 |
アプライアンスのホストのプライベートキー (ホスト証明書に対応) |
アプライアンスホストのプライベートキーは、PKCS#8 標準に従い、PEM 形式でエンコードされている必要があります。暗号化のパスフレーズとして appliance を使用することをお勧めします。他のパスフレーズを使用すると、アップグレード時に証明書が置き換えられた後、MongoDB への接続時に問題が発生する可能性があります。 |
(オプション) 中間 CA 証明書 |
中間 CA 証明書は、アプライアンスホスト証明書からルート CA 証明書への証明連鎖を構成する証明書です。これらの証明書は、ホスト証明書がルート CA 以外の CA によって発行されている場合にのみ必要です。 |
ルート CA 証明書 |
これには、アプライアンス証明連鎖とそのピアのルート CA 証明書が含まれます。アプライアンスが異なる認証局の証明書を持つホストと通信する必要がある場合は、cacerts.pem という名前のファイルで、これらの中間 CA 証明書とルート CA 証明書をすべて準備する必要があります。 |
メモ:
アプライアンスホスト証明書、プライベートキー、および中間 CA 証明書は、すべて 1 つの PEM ファイルに含めることができます。
サードパーティの証明書をインストールする前に、前提条件を読み、必要な手順を実行したことを確認してください。
NetBackup Appliance にサードパーティの証明書を実装するには、ルートアカウントでログインする必要があります。メンテナンスアカウントにアクセスし、Symantec Data Center Security を上書きし、ルートアカウントでログインする権限があることを確認します。
エラーを防ぐには、証明書ファイルが次の条件を満たしていることを確認します。
すべての証明書ファイルには
.pem
または.cer
の接尾辞が必要です。また、証明書の先頭に "-----BEGIN CERTIFICATE-----" を含める必要があります。すべての証明書ファイルで、証明書の SAN (サブジェクトの別名) フィールドにホスト名と FQDN が含まれている必要があります。証明書を HA 環境で使用する場合、SAN フィールドには VIP、ホスト名、および FQDN が含まれている必要があります。
サブジェクト名フィールドと一般名フィールドを空のままにすることはできません。
サブジェクトフィールドは、各ホストで一意である必要があります。
サブジェクトフィールドには、最大 255 文字を含めることができます。
サーバーとクライアントの認証属性を証明書に設定する必要があります。
証明書のサブジェクトフィールドおよび SAN フィールドでは、ASCII 7 文字のみを使用できます。
プライベートキーは PKCS#8 PEM 形式で、先頭に -----BEGIN ENCRYPTED PRIVATE KEY----- または -----BEGIN PRIVATE KEY----- というヘッダー行が含まれている必要があります。
NetBackup Appliance の Web サービスでは、PKCS#12 標準を使用します。また、証明書ファイルを X.509 (.pem) 形式にする必要があります。証明書とプライベートキーを他の形式で取得した場合は、まず X.509 (.pem) 形式に変換する必要があります。証明書ファイルを OpenSSL を利用して必要な形式に変換する手順については、次の表を参照してください。OpenSSL は http://www.openssl.org からダウンロードできます。
表: 証明書ファイルを必要な形式に変換する手順
証明書ファイルの形式 |
証明書ファイルの接尾辞 |
証明書ファイルを必要な形式に変換する手順 |
---|---|---|
DER |
.DER または .der |
DER 形式を X.509 (.pem) 形式に変換するには、次のコマンドを使用します。 openssl x509 -inform der -in cert.der -outform pem -out cert.pem |
.p7b |
証明書ファイルに「---BEGIN PKCS7 - 」文字列が含まれていない場合は、次のコマンドを使用して X.509 (.pem) 形式に変換します。 openssl pkcs7 -inform der -in cacerts.der.p7b -out cacerts.p7b openssl pkcs7 -print_certs -in cacerts.p7b -out cacerts.pem | |
p7b |
.p7b |
証明書ファイルに「---BEGIN PKCS7 - 」文字列が含まれている場合は、次のコマンドを使用して X.509 (.pem) 形式に変換します。 openssl pkcs7 -print_certs -in cacerts.p7b -out cacerts.pem |
アプライアンスのホスト証明書、アプライアンスのホストのプライベートキー、ルート CA 証明書ファイルの名前がそれぞれ server.pem、serverkey.pem、cacerts.pem である場合、NetBackup Appliance でサードパーティの証明書を構成するには、次の手順を実行します。
サードパーティの証明書は、Java KeyStore (JKS) に格納されます。JKS は、Tomcat Web サーバーなどの Java ベースのサービスで使用されるセキュリティ証明書のリポジトリです。
ルート CA SSL 証明書は、NetBackup の Web 管理コンソールで使用される Java TrustStore にロードされます。この TrustStore は、NetBackup カタログバックアップの一部です。
NetBackup Appliance の既存の Java KeyStore および TrustStore に証明書ファイルをインストールするには、次の手順を実行します。
- SSH を使用してメンテナンスアカウントにログオンし、Symantec Data Center Security の保護を上書きします。
- ルートアカウントを使用してアプライアンスにログオンします。
- アプライアンスのホスト証明書、プライベートキー、および CA 証明書ファイルを
/tmp
などの一時ディレクトリにコピーします。 - すべての証明書ファイルが X.509 PEM 形式であることを確認します。通常、これらのファイルには
.pem
または.cer
の接尾辞があり、証明書の先頭には -----BEGIN CERTIFICATE----- というヘッダー行が含まれています。 を参照してください。 - PEM 形式の X.509 証明書 (server.pem) とプライベートキー (serverkey.pem) を、CA 証明書ファイル cacerts.pemを使用して PKCS#12 形式に変換します。次のコマンドを入力します。
openssl pkcs12 -export -in server.pem -inkey serverkey.pem -out server.p12 -name tomcat -CAfile cacerts.pem -caname root
メモ:
OpenSSL コマンドでインポートパスワードの入力を求められたら、プライベートキーのパスフレーズを入力します。エクスポートパスワードの入力を求められたら、appliance と入力します。
- NetBackup Appliance の Web サービスの KeyStore ファイルを次のように作業ディレクトリにコピーします。
cp /opt/apache-tomcat/security/keystore ./keystore
- PKCS#12 ファイル (server.p12) を Java KeyStore にインポートするには、コマンド keytool -importkeystore -deststorepass appliance -destkeypass appliance -destkeystore keystore -srckeystore server.p12 -srcstoretype PKCS12 -srcstorepass appliance -alias tomcat を入力します。
例外の発生を防ぐために、次のことを確認します。
-deststorepass オプションと -destkeypass オプションのパスワードとして appliance を指定します。パスワードに使用できるのは英数字のみです。
-alias オプションに tomcat を指定します。
- 次のコマンドを実行して、すべての DNS 値が Java KeyStore のエントリに正しく適用されていることを確認します。
keytool -list -v -alias tomcat -keystore keystore -storepass appliance
- cacerts.pem CA 証明書ファイルの下部に、ルート CA 証明書までの中間 CA 証明書 (ある場合) のチェーンが含まれていることを確認します。
- CA 証明書ファイル
cacerts.pem
を Java TrustStore にインポートします。Java TrustStore は NetBackup の Web 管理コンソールで使用されます。次のコマンドを入力します。keytool -import -noprompt -trustcacerts -file cacerts.pem -alias vxosrootcachain -keystore keystore -storepass appliance
cacerts.pem
ファイルが複数の中間 CA 証明書で構成されている場合は、証明書内の -----BEGIN CERTIFICATE----- タグと -----END CERTIFICATE----- タグに従って、証明書を別々のファイルに分割します。そうすることで、CA 証明書ファイルごとにコマンドを実行できます。keytool -import -noprompt -trustcacerts -file cacertn.pem alias vxosrootcachain[n] -keystore keystore -storepass appliance
cacertn は個々の証明書ファイル (たとえば、cacert1.pem、cacert2.pem、...、cacertn.pem) を表します。
データベースと関連するサービスをシャットダウンするには、次のコマンドを入力します。
systemctl stop nginx service as-alertmanager stop service as-analyzer stop service as-transmission stop /opt/IMAppliance/scripts/infraservices.sh webserver stop /opt/IMAppliance/scripts/infraservices.sh database stop
Tomcat Web サーバーに新しい KeyStore をインストールするには、次の手順を実行します。
- 次のコマンドを使用して、既存の Web サーバーの KeyStore ファイルをバックアップします。
cp /opt/apache-tomcat/security/keystore /opt/apache-tomcat/security/keystore.orig
- 既存の KeyStore ファイルを新しい KeyStore ファイルで置換します。
cp ./keystore /opt/apache-tomcat/security/keystore
- 次のコマンドを使用して、新しい KeyStore ファイルの権限を設定します。
chmod 700 /opt/apache-tomcat/security chmod 600 /opt/apache-tomcat/security/keystore chown - R tomcat:tomcat /opt/apache-tomcat/security
次の手順を実行します。
- 証明書ファイルを /etc/vxos-ssl/servers/certs にコピーします。
cp serverkey.pem /etc/vxos-ssl/servers/certs cp server.pem /etc/vxos-ssl/servers/certs cp cacerts.pem /etc/vxos-ssl/servers/certs
- プライベートキー (serverkey.pem) と証明書 (server.pem) を連結します。
cat /etc/vxos-ssl/servers/certs/server.pem >> /etc/vxos-ssl/servers/certs/serverkey.pem
- 証明書ファイルに必要なファイル権限を次のように設定します。
chown root:infra /etc/vxos-ssl/servers/certs/serverkey.pem chown root:infra /etc/vxos-ssl/servers/certs/server.pem chown root:infra /etc/vxos-ssl/servers/certs/cacerts.pem chmod 440 /etc/vxos-ssl/servers/certs/serverkey.pem chmod 440 /etc/vxos-ssl/servers/certs/server.pem chmod 440 /etc/vxos-ssl/servers/certs/cacerts.pem
MongoDB でサードパーティの SSL 証明書を構成するには、次の手順を実行します。
- プライベートキー (serverkey.pem) と証明書 (server.pem) を連結します。
cat /etc/vxos-ssl/servers/certs/server.pem >> /etc/vxos-ssl/servers/certs/serverkey.pem
/etc/mongod.conf
で PEMKeyFile を含む行を編集し、/etc/vxos-ssl/servers/certs/serverkey.pem
を追加します。/etc/mongod.conf
で PEMKeyPassword を含む行を編集し、プライベートキーのパスフレーズを追加します。/etc/mongod.conf
を編集し、次の内容を追加します。server_cert=/etc/vxos-ssl/servers/certs/serverkey.pem client_cert=/etc/vxos-ssl/servers/certs/cacerts.pem pem_password=<passphrase of the private key>
- 次のコマンドを入力して、MongoDB と Web サービスを起動します。
/opt/IMAppliance/scripts/infraservices.sh database start /opt/IMAppliance/scripts/infraservices.sh webserver start
NGINX ゲートウェイでサードパーティの SSL 証明書を構成するには、次の手順を実行します。
/etc/nginx/conf.d/appsol.conf
が書き込み可能であることを確認します。ssl_certificate と ssl_certificate_key を含む行を編集して、証明書と (証明書と連結した) プライベートキーを指定します。
ssl_certificate /etc/vxos-ssl/servers/certs/server.pem; ssl_certificate_key /etc/vxos-ssl/servers/certs/serverkey.pem;
/etc/nginx/locations/appsol.conf
が書き込み可能であることを確認します。proxy_ssl_certificate と proxy_ssl_certificate_key を含む行を編集して、証明書と (証明書と連結した) プライベートキーを指定します。
proxy_ssl_certificate /etc/vxos-ssl/servers/certs/server.pem; proxy_ssl_certificate_key /etc/vxos-ssl/servers/certs/serverkey.pem;
- 次のコマンドを入力して、NGINX サーバーを起動します。
systemctl start nginx
次のコマンドを入力して、自動サポートサービスを起動します。
service as-alertmanager start service as-analyzer start service as-transmission start
NetBackup Appliance メディアサーバーに適用されるすべてのサードパーティ CA SSL 証明書は、関連する NetBackup Appliance マスターサーバーにも配備する必要があります。
関連するメディアサーバーに配備されているサードパーティのルート CA SSL 証明書ごとに、マスターサーバーで次のコマンドを実行します。
UNIX ベースの NetBackup Appliance マスターサーバーの場合は、次のコマンドを実行します。
/usr/openv/java/jre/bin/keytool -importcert -storepass 'cat /usr/openv/var/global/jkskey' -keystore /usr/openv/var/global/wsl/credentials/truststoreMSDP -file <path to root CA certificate file> -alias <descriptive label for root CA certificate>
Windows ベースの NetBackup Appliance マスターサーバーの場合は、テキストエディタ、シェル、または type などのコマンドユーティリティを使用して、
\Program Files\Veritas\NetBackup\var\global\jkskey
に格納されているjkskey
ファイルを読み取ります。次のコマンドを実行して、KeyStore のパスワードを置き換えます。\Program Files\Veritas\NetBackup\jre\bin\keytool" -importcert -keystore "C:\Program Files\Veritas\NetBackup\var\global\wsl\credentials\truststoreMSDP" -storepass <keystore password> -file "<path to root CA certificate file>" -alias <descriptive label for root CA certificate>
メモ:
jkskey
ファイルには、NetBackup の Web 管理コンソールで使用される Java KeyStore ファイルの NetBackup パスワードが含まれています。jkskey
ファイルに変更を加えると、システム障害が発生する可能性があります。