SIOS Protection Suite (SPS) API のリリース 7.5 以降では、異なるシステムとの通信に SSL/TLS が使用されます。現在、この API は一部のみ使用され、内部使用のみとして予約されていますが、将来のリリースではお客様とサードパーティが使用できるように公開される可能性があります。デフォルトでは、ノード間で一定の身元確認が可能なデフォルト証明書が SPS と共にインストールされます。このドキュメントでは、デフォルト証明書を組織独自の認証局 (CA) が作成した証明書に置き換える方法を説明します。
注記: 通常の SPS 通信では、これらの証明書は使用されません。
証明書の使用方法
データ転送を保護するために SPS サーバ間の通信に SSL/TLS が使用されている場合、システムがそれ自体を識別するために証明書を提供します。また、システムは、CA 証明書を使用して、SSL 接続経由で提示された証明書を検証します。
以下の 3 種類の証明書が使用されます。
- /opt/LifeKeeper/etc/certs/LK4LinuxValidNode.pem (server certificate)
- /opt/LifeKeeper/etc/certs/LK4LinuxValidClient.pem (client certificate)
- /opt/LifeKeeper/etc/certs/LKCA.pem (certificate authority)
最初の 2 つの証明書は、サーバが実行する検証に合格するために CA 証明書による署名が必要です。証明書の共通名は検証されません。証明書は CA によって署名されるのみということに注意してください。
独自の証明書の使用
運用環境によっては、デフォルト証明書を組織内部の CA または商用 CA が作成した証明書に置き換える必要がある場合があります。そのような場合は、上記の 3 種類の証明書を、 同じ証明書ファイル名 を持つ新しい証明書に置き換えます。これらの証明書は PEM 形式です。LK4LinuxValidNode.pem および LK4LinuxValidClient.pem はそれぞれ、キーと証明書の両方を含んでいます。LK4LinuxValidNode.pem 証明書は、サーバタイプの証明書です。LK4LinuxValidClient.pem は、クライアントタイプの証明書です。
デフォルトの証明書を置換した場合、変更を反映すために SPS を再起動する必要があります。証明書の設定を間違えると、steeleye-lighttpd デーモンが起動に失敗し、LifeKeeper のログファイルにエラーが記録されます。問題が発生した場合、このログファイルを参照すると実行すべき完全なコマンドを見ることができます。
このトピックへフィードバック