LifeKeeper Single Server Protection では、異なるシステムとの通信に SSL/TLS が使用されます。デフォルトでは、ノード間で一定の身元確認が可能なデフォルト証明書が製品 (Core) と共にインストールされます。このドキュメントでは、デフォルト証明書を組織独自の認証局 (CA) が作成した証明書に置き換える方法を説明します。
証明書の使用方法
SteelEye 管理コンソール (SMC) と LifeKeeper Single Server Protection サーバとの通信では、転送するデータを保護するために SSL/TLS が使用されます。双方のシステムは自身を特定する証明書を提示し、証明書を提示されたシステムは、CA 証明書を使用して提示された証明書を SSL 接続経由で確認します。
以下の 4 種類の証明書が使用されます。
- /opt/LifeKeeper/etc/certs/LK4LinuxValidNode.pem (LifeKeeper Single Server Protection server certificate)
- /opt/LifeKeeper/etc/certs/LK4LinuxValidSMC.pem (SMC server certificate)
- /opt/LifeKeeper/etc/certs/LK4LinuxClient.pem (LifeKeeper Single Server Protection client certificate, installed on all servers)
- /opt/LifeKeeper/etc/certs/LKCA.pem (certificate authority, installed on all servers)
最初の 3 つの証明書がサーバが実行する検証に合格するためには、4 番目の証明書による署名が必要です。証明書の共通名は検証されません。証明書は CA によって署名されるのみということに注意してください。
独自の証明書の使用
運用環境によっては、デフォルト証明書を組織内部の CA が作成した証明書に置き換える必要がある場合があります。そのような場合は、上記の 4 種類の証明書を、 同じ証明書ファイル名 を持つ新しい証明書に置き換えます。これらの証明書は PEM 形式です。LK4LinuxValidNode.pem、LK4LinuxValidSMC.pem、および LK4LinuxValidClient.pem はそれぞれ、キーと証明書の両方を含んでいます。LK4LinuxValidNode.pem および LK4LinuxValidSMC.pem の証明書は、 サーバ タイプの証明書です。LK4LinuxValidClient.pemは、 クライアント タイプの証明書です。
デフォルトの証明書を置換した場合、変更を反映するには LifeKeeper Single Server Protection および SMC を再起動する必要があります。証明書の設定を間違えると、steeleye-lighttpd デーモンが起動に失敗し、LifeKeeper Single Server Protection のログファイルにエラーが記録されます。問題が発生した場合、このログファイルを参照すると実行すべき完全なコマンドを見ることができます。
このトピックへフィードバック