First Published: July 24, 2017

SafeNet キー管理

HyperFlex と SafeNet の統合の概要

このドキュメントでは、HyperFlex ノードと SafeNet キー管理サーバ間の証明書または信頼を確立する方法について説明します。初めてリモート キー管理 (KMIP) 設定を行う場合は、SafeNet KeySecure Management Console でローカル認証局(CA) を設定する必要があります。

ローカル認証局の生成

手順

ステップ 1

管理者の資格情報で SafeNet KeySecure Management Console にログインします。

ステップ 2

[Security] タブをクリックします。

ステップ 3

[ナビゲーション] ペインで、[Local CAs] をクリックします。

ステップ 4

[Create local Certificate Authority]] セクションで、次のフィールドに入力します。

UI 要素

基本情報

[Certificate Authority Name] フィールド

認証局の名前。

[Common Name] フィールド

認証局の一般的な名前。

[Organizational Unit] フィールド

証明書を要求している組織。

32 文字まで入力します。

[Organizational Unit Name] フィールド

組織ユニット

最大 64 文字まで入力できます。

[Locality Name] フィールド

証明書を要求している会社の本社が存在する市または町。

32 文字まで入力します。

[State or Province Name] フィールド

証明書を要求している会社の本社が存在する州または行政区分。

32 文字まで入力します。

[Country Name] フィールド

会社が存在する国。

2 つの英字を大文字で入力します。

[電子メールアドレス(Email Address)] フィールド

<admin> 電子メール アドレス

[Key Size] フィールド

ローカル認証局のキー サイズ

[Certificate Authority Type] フィールド

[Self-signed Root CA] または [Intermediate CA Request] のいずれかを選択します。

[自己署名ルート CA] を作成する場合、[CA Certificate Duration (days)] および [Maximum User Certificate Duration (days)] を指定する必要があります。

ステップ 5

[作成(Create)] をクリックします。

事故署名ルート認証局の作成

手順

ステップ 1

管理者の資格情報で SafeNet KeySecure Management Console にログインします。

ステップ 2

[Security] タブをクリックします。

ステップ 3

[ナビゲーション] ペインで、[Local CAs] をクリックします。

ステップ 4

[Certificate Authority Name][Common Name][Organization Name][Organizational Unit Name][Locality Name][State or Province Name][Country Name][Email Address]Key Size を入力します。

ステップ 5

[Certificate Authority Type][Self-Signed Root CA] を選択します。

ステップ 6

[作成(Create)] をクリックします。

新しい自己署名 CA は、 [CA Certificate Request Pending] のステータスと [Local Certificate Authority List] セクションに表示されます。

ステップ 7

新しく作成された自己署名ルート CA を選択します。[Properties] タブをクリックし、[CA Certificate Information]にアクセスします。

ステップ 8

HX Connect UI で、公開キー フィールドに CA 証明書テキストをコピーします。
ステップ 9

この新しいローカル認証局を信頼済み CA リストに追加します。

  1. [navigation] ペインで、[Trusted CA List] をクリックします。

  2. [Work] ペインで、[Properties] タブをクリックします。

  3. [Edit] をクリックします。

  4. [Available CAs] のリストから、新しく作成された自己署名ルート CA を選択します。[ADD] をクリックし、[Trusted CAs] の下に移動します。

  5. [Save(保存)] をクリックします。

サーバ SSL 証明書の作成

手順

ステップ 1

SSL サーバ証明書を作成するには、まず証明書署名要求(CSR)を生成します。

  1. Log in to the SafeNet KeySecure Management Console with administrator credentials.

  2. [Security] タブをクリックします。

  3. [ナビゲーション] ペインで、[Local CAs] をクリックします。

  4. [Create local Certificate Authority]] セクションで、次のフィールドに入力します。

    UI 要素

    基本情報

    [Certificate Authority Name] フィールド

    認証局の名前。

    [Common Name] フィールド

    認証局の一般的な名前。

    [Organizational Unit] フィールド

    証明書を要求している組織。

    32 文字まで入力します。

    [Organizational Unit Name] フィールド

    組織ユニット

    最大 64 文字まで入力できます。

    [Locality Name] フィールド

    証明書を要求している会社の本社が存在する市または町。

    32 文字まで入力します。

    [State or Province Name] フィールド

    証明書を要求している会社の本社が存在する州または行政区分。

    32 文字まで入力します。

    [Country Name] フィールド

    会社が存在する国。

    2 つの英字を大文字で入力します。

    [電子メールアドレス(Email Address)] フィールド

    <admin> 電子メール アドレス

    [Key Size] フィールド

    ローカル認証局のキー サイズ

  5. [Create Certificate Request] をクリックします。

ステップ 2

[Certificate List] セクションには、新しく作成された CSR を選択します。[Properties] タブをクリックし、[CA Certificate Information]にアクセスします。

ステップ 3

CA 証明書のテキストをコピーします。
ステップ 4

ローカル証明書で CSR 署名を行います。

  1. [navigation] ペインで、[Trusted CA List] をクリックします。

  2. [Work] ウィンドウで、[Sign Request] をクリックします。

  3. CA 証明書の情報を、[Certificate Request]の下に貼り付けます。

  4. [Certificate Purpose] オプションでは、[Server]を選択します。

  5. [Sign Request] をクリックします。

認証局のインストール

始める前に

CA 証明書をインストールする前に、CA 証明書をコピーする必要があります。

手順

ステップ 1

管理者の資格情報で SafeNet KeySecure Management Console にログインします。

ステップ 2

[Security] タブをクリックします。

ステップ 3

[navigation] ウィンドウで、[SSL Certificates] をクリックします。

ステップ 4

新しく作成された証明書を選択します。[Properties] タブをクリックします。

ステップ 5

[Install Certificate] をクリックします。

ステップ 6

[Certificate Response] に証明書の情報を貼り付けます。

ステップ 7

[Save(保存)] をクリックします。

[Security] > [SSL Certitficates] > [Certificate and CA Configuration] ページの [Certificate List] セクションで、認証局が [Certificate Status - Active] と表示されます。

KMIP サーバの追加

手順

ステップ 1

管理者の資格情報で SafeNet KeySecure Management Console にログインします。

ステップ 2

[デバイス(Device)] タブをクリックします。

ステップ 3

[navigation] ペインで [Key Server] をクリックします。

ステップ 4

[Cryptographic Key Server Settings] セクションで、[Add] をクリックして次のフィールドに入力します。

UI 要素

基本情報

[Protocol] フィールド

Key Management Interoperability Protocol(KMIP)を選択します。

[IP] フィールド

<IP address>

[Port] フィールド

<Port number>

[SSL の使用] フィールド

選択してセキュア ソケット レイヤの暗号化を使用します。

[Server Root CA Certificate] フィールド

HyperFlex に作成したサーバ証明書をドロップダウン リストから選択します。
ステップ 5

[Save(保存)] をクリックします。

KMIP サーバ設定の更新

クライアント証明書を使用する KMIP サーバ設定を更新し、共通の組織単位を指定します。

手順

ステップ 1

管理者の資格情報で SafeNet KeySecure Management Console にログインします。

ステップ 2

[デバイス(Device)] タブをクリックします。

ステップ 3

[navigation] ペインで [Key Server] をクリックします。

ステップ 4

[Authentication Settings] セクションで、[Edit] をクリックします。

ステップ 5

[Default] としてドロップダウン リストから [Trusted CA List Profile] を設定します。

ステップ 6

OU (組織ユニット)としてドロップダウンリストからクライアント証明書のユーザ名 ()] フィールドを設定します。

ステップ 7

[Save(保存)] をクリックします。

ステップ 8

一般的な発行者が、ローカルおよび SSL 証明書に存在する共通発行者 OU でローカル ユーザーを作成します。

  1. [Security] タブをクリックします。

  1. [navigation] ペインで、[Local Users and Groups] をクリックします。

  2. [Local Users] セクションで、[Add] をクリックして次のフィールドに入力します。

UI 要素

基本情報

[Username] フィールド

<admin> ユーザ名

[Password] フィールド

<admin> password

ユーザーの管理権限

このユーザーの管理権限を付与することを確認します。

パスワードのアクセス許可を変更します。

このユーザーにパスワード変更の許可を確認します。
このユーザーでクラスタから CSR に署名できます。