<book_title> を検索 ...

Veritas NetBackup™ Appliance 管理者ガイド

Last Published: 2019-11-04

Product(s): Appliances (3.2)

Platform: NetBackup Appliance OS

サードパーティの SSL 証明書の実装

このセクションの手順を使用して、NetBackup Appliance 層の外部証明書を手動で配備および構成します。NetBackup と NetBackup Appliance の両方に同じ外部証明書を配備する必要があります。NetBackup と NetBackup Appliance 層に個別の証明書はサポートされていないことに注意してください。

NetBackup Appliance で使用される各種の証明書については、次の表を参照してください。

表: サードパーティの証明書の種類

証明書の種類	説明
アプライアンスホスト証明書	アプライアンスホスト証明書は、X.509 または PKCS#7 標準に基づいています。証明書は、DER (バイナリ) または PEM (テキスト) 形式でエンコードされます。長さ 2048 ビット以上の RSA パブリックキーとプライベートキーを使用することをお勧めします。メモ: 証明書のサブジェクトフィールドの CN 部分で、必ずアプライアンスの完全修飾ホスト名を指定します。証明書拡張の SubjectAlternativeName に、アプライアンスに到達できるすべてのアプライアンスのホスト名と IP アドレスが含まれている必要があります。完全修飾ホスト名と短縮名を含める必要があります。
アプライアンスのホストのプライベートキー (ホスト証明書に対応)	アプライアンスホストのプライベートキーは、PKCS#8 標準に従い、PEM 形式でエンコードされている必要があります。暗号化のパスフレーズとして appliance を使用することをお勧めします。他のパスフレーズを使用すると、アップグレード時に証明書が置き換えられた後、MongoDB への接続時に問題が発生する可能性があります。
(オプション) 中間 CA 証明書	中間 CA 証明書は、アプライアンスホスト証明書からルート CA 証明書への証明連鎖を構成する証明書です。これらの証明書は、ホスト証明書がルート CA 以外の CA によって発行されている場合にのみ必要です。
ルート CA 証明書	これには、アプライアンス証明連鎖とそのピアのルート CA 証明書が含まれます。アプライアンスが異なる認証局の証明書を持つホストと通信する必要がある場合は、cacerts.pem という名前のファイルで、これらの中間 CA 証明書とルート CA 証明書をすべて準備する必要があります。

メモ:

アプライアンスホスト証明書、プライベートキー、および中間 CA 証明書は、すべて 1 つの PEM ファイルに含めることができます。

前提条件

サードパーティの証明書をインストールする前に、前提条件を読み、必要な手順を実行したことを確認してください。

NetBackup Appliance にサードパーティの証明書を実装するには、ルートアカウントでログインする必要があります。メンテナンスアカウントにアクセスし、Symantec Data Center Security を上書きし、ルートアカウントでログインする権限があることを確認します。
エラーを防ぐには、証明書ファイルが次の条件を満たしていることを確認します。
- すべての証明書ファイルには .pem または .cer の接尾辞が必要です。また、証明書の先頭に "-----BEGIN CERTIFICATE-----" を含める必要があります。
- すべての証明書ファイルで、証明書の SAN (サブジェクトの別名) フィールドにホスト名と FQDN が含まれている必要があります。証明書を HA 環境で使用する場合、SAN フィールドには VIP、ホスト名、および FQDN が含まれている必要があります。
- サブジェクト名フィールドと一般名フィールドを空のままにすることはできません。
- サブジェクトフィールドは、各ホストで一意である必要があります。
- サブジェクトフィールドには、最大 255 文字を含めることができます。
- サーバーとクライアントの認証属性を証明書に設定する必要があります。
- 証明書のサブジェクトフィールドおよび SAN フィールドでは、ASCII 7 文字のみを使用できます。
プライベートキーは PKCS#8 PEM 形式で、先頭に -----BEGIN ENCRYPTED PRIVATE KEY----- または -----BEGIN PRIVATE KEY----- というヘッダー行が含まれている必要があります。
NetBackup Appliance の Web サービスでは、PKCS#12 標準を使用します。また、証明書ファイルを X.509 (.pem) 形式にする必要があります。証明書とプライベートキーを他の形式で取得した場合は、まず X.509 (.pem) 形式に変換する必要があります。証明書ファイルを OpenSSL を利用して必要な形式に変換する手順については、次の表を参照してください。OpenSSL は http://www.openssl.org からダウンロードできます。

表: 証明書ファイルを必要な形式に変換する手順

証明書ファイルの形式	証明書ファイルの接尾辞	証明書ファイルを必要な形式に変換する手順
DER	.DER または .der	DER 形式を X.509 (.pem) 形式に変換するには、次のコマンドを使用します。 openssl x509 -inform der -in cert.der -outform pem -out cert.pem
	.p7b	証明書ファイルに「---BEGIN PKCS7 - 」文字列が含まれていない場合は、次のコマンドを使用して X.509 (.pem) 形式に変換します。 openssl pkcs7 -inform der -in cacerts.der.p7b -out cacerts.p7b openssl pkcs7 -print_certs -in cacerts.p7b -out cacerts.pem
p7b	.p7b	証明書ファイルに「---BEGIN PKCS7 - 」文字列が含まれている場合は、次のコマンドを使用して X.509 (.pem) 形式に変換します。 openssl pkcs7 -print_certs -in cacerts.p7b -out cacerts.pem

証明書ファイルの形式

証明書ファイルの接尾辞

証明書ファイルを必要な形式に変換する手順

DER

.DER または .der

DER 形式を X.509 (.pem) 形式に変換するには、次のコマンドを使用します。

openssl x509 -inform der -in cert.der -outform pem -out cert.pem

.p7b

証明書ファイルに「---BEGIN PKCS7 - 」文字列が含まれていない場合は、次のコマンドを使用して X.509 (.pem) 形式に変換します。

openssl pkcs7 -inform der -in cacerts.der.p7b -out cacerts.p7b

openssl pkcs7 -print_certs -in cacerts.p7b -out cacerts.pem

p7b

.p7b

証明書ファイルに「---BEGIN PKCS7 - 」文字列が含まれている場合は、次のコマンドを使用して X.509 (.pem) 形式に変換します。

openssl pkcs7 -print_certs -in cacerts.p7b -out cacerts.pem

アプライアンスのホスト証明書、アプライアンスのホストのプライベートキー、ルート CA 証明書ファイルの名前がそれぞれ server.pem、serverkey.pem、cacerts.pem である場合、NetBackup Appliance でサードパーティの証明書を構成するには、次の手順を実行します。

手順 1: 既存の Java KeyStore および TrustStore に証明書ファイルをインストールする

サードパーティの証明書は、Java KeyStore (JKS) に格納されます。JKS は、Tomcat Web サーバーなどの Java ベースのサービスで使用されるセキュリティ証明書のリポジトリです。

ルート CA SSL 証明書は、NetBackup の Web 管理コンソールで使用される Java TrustStore にロードされます。この TrustStore は、NetBackup カタログバックアップの一部です。

NetBackup Appliance の既存の Java KeyStore および TrustStore に証明書ファイルをインストールするには、次の手順を実行します。

SSH を使用してメンテナンスアカウントにログオンし、Symantec Data Center Security の保護を上書きします。
ルートアカウントを使用してアプライアンスにログオンします。
アプライアンスのホスト証明書、プライベートキー、および CA 証明書ファイルを /tmp などの一時ディレクトリにコピーします。
すべての証明書ファイルが X.509 PEM 形式であることを確認します。通常、これらのファイルには .pem または .cer の接尾辞があり、証明書の先頭には -----BEGIN CERTIFICATE----- というヘッダー行が含まれています。を参照してください。
PEM 形式の X.509 証明書 (server.pem) とプライベートキー (serverkey.pem) を、CA 証明書ファイル cacerts.pemを使用して PKCS#12 形式に変換します。次のコマンドを入力します。
openssl pkcs12 -export -in server.pem -inkey serverkey.pem -out server.p12 -name tomcat -CAfile cacerts.pem -caname root
メモ:
OpenSSL コマンドでインポートパスワードの入力を求められたら、プライベートキーのパスフレーズを入力します。エクスポートパスワードの入力を求められたら、appliance と入力します。
NetBackup Appliance の Web サービスの KeyStore ファイルを次のように作業ディレクトリにコピーします。
cp /opt/apache-tomcat/security/keystore ./keystore
PKCS#12 ファイル (server.p12) を Java KeyStore にインポートするには、コマンド keytool -importkeystore -deststorepass appliance -destkeypass appliance -destkeystore keystore -srckeystore server.p12 -srcstoretype PKCS12 -srcstorepass appliance -alias tomcat を入力します。
例外の発生を防ぐために、次のことを確認します。
- -deststorepass オプションと -destkeypass オプションのパスワードとして appliance を指定します。パスワードに使用できるのは英数字のみです。
- -alias オプションに tomcat を指定します。
次のコマンドを実行して、すべての DNS 値が Java KeyStore のエントリに正しく適用されていることを確認します。
keytool -list -v -alias tomcat -keystore keystore -storepass appliance
cacerts.pem CA 証明書ファイルの下部に、ルート CA 証明書までの中間 CA 証明書 (ある場合) のチェーンが含まれていることを確認します。
CA 証明書ファイル cacerts.pem を Java TrustStore にインポートします。Java TrustStore は NetBackup の Web 管理コンソールで使用されます。次のコマンドを入力します。
keytool -import -noprompt -trustcacerts -file cacerts.pem -alias vxosrootcachain -keystore keystore -storepass appliance
cacerts.pem ファイルが複数の中間 CA 証明書で構成されている場合は、証明書内の -----BEGIN CERTIFICATE----- タグと -----END CERTIFICATE----- タグに従って、証明書を別々のファイルに分割します。そうすることで、CA 証明書ファイルごとにコマンドを実行できます。
keytool -import -noprompt -trustcacerts -file cacertn.pem alias vxosrootcachain[n] -keystore keystore -storepass appliance
cacertn は個々の証明書ファイル (たとえば、cacert1.pem、cacert2.pem、...、cacertn.pem) を表します。

手順 2: データベースと関連する Web サービスをシャットダウンする

データベースと関連するサービスをシャットダウンするには、次のコマンドを入力します。

systemctl stop nginx
service as-alertmanager stop
service as-analyzer stop 
service as-transmission stop
/opt/IMAppliance/scripts/infraservices.sh webserver stop
/opt/IMAppliance/scripts/infraservices.sh database stop

手順 3: Tomcat Web サーバーに新しい Java KeyStore をインストールする

Tomcat Web サーバーに新しい KeyStore をインストールするには、次の手順を実行します。

次のコマンドを使用して、既存の Web サーバーの KeyStore ファイルをバックアップします。
cp /opt/apache-tomcat/security/keystore /opt/apache-tomcat/security/keystore.orig
既存の KeyStore ファイルを新しい KeyStore ファイルで置換します。
cp ./keystore /opt/apache-tomcat/security/keystore

次のコマンドを使用して、新しい KeyStore ファイルの権限を設定します。

chmod 700 /opt/apache-tomcat/security
chmod 600 /opt/apache-tomcat/security/keystore 
chown  - R tomcat:tomcat /opt/apache-tomcat/security

手順 4: 証明書ファイルをデフォルトの場所にコピーする

次の手順を実行します。

証明書ファイルを /etc/vxos-ssl/servers/certs にコピーします。

cp serverkey.pem /etc/vxos-ssl/servers/certs
cp server.pem /etc/vxos-ssl/servers/certs
cp cacerts.pem /etc/vxos-ssl/servers/certs

プライベートキー (serverkey.pem) と証明書 (server.pem) を連結します。

cat /etc/vxos-ssl/servers/certs/server.pem >> 
/etc/vxos-ssl/servers/certs/serverkey.pem

証明書ファイルに必要なファイル権限を次のように設定します。

chown root:infra /etc/vxos-ssl/servers/certs/serverkey.pem
chown root:infra /etc/vxos-ssl/servers/certs/server.pem
chown root:infra /etc/vxos-ssl/servers/certs/cacerts.pem

chmod 440 /etc/vxos-ssl/servers/certs/serverkey.pem
chmod 440 /etc/vxos-ssl/servers/certs/server.pem
chmod 440 /etc/vxos-ssl/servers/certs/cacerts.pem

手順 5: 新しい証明書ファイルを使用するように MongoDB を構成する

MongoDB でサードパーティの SSL 証明書を構成するには、次の手順を実行します。

プライベートキー (serverkey.pem) と証明書 (server.pem) を連結します。

cat /etc/vxos-ssl/servers/certs/server.pem >> 
/etc/vxos-ssl/servers/certs/serverkey.pem

/etc/mongod.conf で PEMKeyFile を含む行を編集し、/etc/vxos-ssl/servers/certs/serverkey.pem を追加します。
/etc/mongod.conf で PEMKeyPassword を含む行を編集し、プライベートキーのパスフレーズを追加します。

/etc/mongod.conf を編集し、次の内容を追加します。

server_cert=/etc/vxos-ssl/servers/certs/serverkey.pem
client_cert=/etc/vxos-ssl/servers/certs/cacerts.pem
pem_password=<passphrase of the private key>

次のコマンドを入力して、MongoDB と Web サービスを起動します。

/opt/IMAppliance/scripts/infraservices.sh database start 
/opt/IMAppliance/scripts/infraservices.sh webserver start

手順 6: 新しい証明書ファイルを使用するように NGINX ゲートウェイサーバーを構成する

NGINX ゲートウェイでサードパーティの SSL 証明書を構成するには、次の手順を実行します。

/etc/nginx/conf.d/appsol.conf が書き込み可能であることを確認します。
ssl_certificate と ssl_certificate_key を含む行を編集して、証明書と (証明書と連結した) プライベートキーを指定します。
```
ssl_certificate /etc/vxos-ssl/servers/certs/server.pem;
ssl_certificate_key /etc/vxos-ssl/servers/certs/serverkey.pem;
```
/etc/nginx/locations/appsol.conf が書き込み可能であることを確認します。
proxy_ssl_certificate と proxy_ssl_certificate_key を含む行を編集して、証明書と (証明書と連結した) プライベートキーを指定します。
```
proxy_ssl_certificate /etc/vxos-ssl/servers/certs/server.pem;
proxy_ssl_certificate_key /etc/vxos-ssl/servers/certs/serverkey.pem;
```
次のコマンドを入力して、NGINX サーバーを起動します。
systemctl start nginx

手順 8: 自動サポートサービスを起動する

次のコマンドを入力して、自動サポートサービスを起動します。

service as-alertmanager start
service as-analyzer start
service as-transmission start

手順 9: NetBackup Appliance マスターサーバーにサードパーティ証明書を配備する

NetBackup Appliance メディアサーバーに適用されるすべてのサードパーティ CA SSL 証明書は、関連する NetBackup Appliance マスターサーバーにも配備する必要があります。

関連するメディアサーバーに配備されているサードパーティのルート CA SSL 証明書ごとに、マスターサーバーで次のコマンドを実行します。

UNIX ベースの NetBackup Appliance マスターサーバーの場合は、次のコマンドを実行します。

/usr/openv/java/jre/bin/keytool -importcert -storepass 'cat 
/usr/openv/var/global/jkskey' -keystore 
/usr/openv/var/global/wsl/credentials/truststoreMSDP 
-file <path to root CA certificate file> 
-alias <descriptive label for root CA certificate>

Windows ベースの NetBackup Appliance マスターサーバーの場合は、テキストエディタ、シェル、または type などのコマンドユーティリティを使用して、\Program Files\Veritas\NetBackup\var\global\jkskey に格納されている jkskey ファイルを読み取ります。次のコマンドを実行して、KeyStore のパスワードを置き換えます。
\Program Files\Veritas\NetBackup\jre\bin\keytool" -importcert -keystore "C:\Program Files\Veritas\NetBackup\var\global\wsl\credentials\truststoreMSDP" -storepass <keystore password> -file "<path to root CA certificate file>" -alias <descriptive label for root CA certificate>
メモ:
jkskey ファイルには、NetBackup の Web 管理コンソールで使用される Java KeyStore ファイルの NetBackup パスワードが含まれています。jkskey ファイルに変更を加えると、システム障害が発生する可能性があります。