LifeKeeper APIのリリース7.5以降では、異なるシステムとの通信にSSL/TLSが使用されます。現在、このAPIは一部のみ使用され、内部使用のみとして予約されていますが、将来のリリースではお客様とサードパーティが使用できるように公開される可能性があります。デフォルトでは、ノード間で一定の身元確認が可能なデフォルト証明書がLifeKeeperと共にインストールされます。このドキュメントでは、デフォルト証明書を組織独自の認証局 (CA) が作成した証明書に置き換える方法を説明します。

証明書の使用方法

データ転送を保護するためにLifeKeeperサーバ間の通信にSSL/TLSが使用されている場合、システムがそれ自体を識別するために証明書を提供します。また、システムは、CA 証明書を使用して、SSL接続経由で提示された証明書を検証します。

以下の3種類の証明書が使用されます。

  • /opt/LifeKeeper/etc/certs/LK4LinuxValidNode.pem (server certificate)
  • /opt/LifeKeeper/etc/certs/LK4LinuxValidClient.pem (client certificate)
  • /opt/LifeKeeper/etc/certs/LKCA.pem (certificate authority)

最初の2つの証明書は、サーバーが実行する検証に合格するためにCA証明書による署名が必要です。証明書の共通名は検証されません。証明書はCAによって署名されるのみということに注意してください。

独自の証明書の使用

運用環境によっては、デフォルト証明書を組織内部のCAまたは商用CAが作成した証明書に置き換える必要がある場合があります。そのような場合は、上記の3種類の証明書を、 同じ証明書ファイル名 を持つ新しい証明書に置き換えます。これらの証明書はPEM形式です。LK4LinuxValidNode.pem および LK4LinuxValidClient.pem はそれぞれ、キーと証明書の両方を含んでいます。LK4LinuxValidNode.pem 証明書は、サーバータイプの証明書です。LK4LinuxValidClient.pem は、クライアントタイプの証明書です。

デフォルトの証明書を置換した場合、変更を反映すために LifeKeeperを再起動する必要があります。証明書の設定を間違えると、steeleye-lighttpd デーモンが起動に失敗し、LifeKeeperのログファイルにエラーが記録されます。問題が発生した場合、このログファイルを参照すると実行すべき完全なコマンドを見ることができます。

期限切れの証明書の更新

フィードバック

お役に立ちましたか?

はい いいえ
お役に立ちましたか
理由をお聞かせください
フィードバックありがとうございました

このトピックへフィードバック

送信