自己発行証明書生成

概要

SSL (Secure Socket Layer) で通信を暗号化する際に使用するSSLサーバ鍵と自己発行証明書を生成する設定を行います。

SSLは、Web GUI からのHTTPS接続に使用されます。

自己発行証明書を生成する場合は、以下の操作および確認が必要です。手順に従い、実行してください。

装置に登録されているSSL証明書をバックアップとして保存します。
SMI-SクライアントおよびRESTful APIクライアントによるアクセスを停止し、ほかのWeb GUI（自分を除くWeb GUI）をすべてログアウトします。
本機能を使用して、SSLサーバ鍵と自己発行証明書を生成してから、Web GUIをログアウトします。

生成を指示したあと、装置に証明書を反映するためにHTTP/HTTPS通信が停止します。反映が完了するまでRESTful API および Web GUIによるHTTP/HTTPSアクセスはできません。
手順3終了後、2～3分経過してから、以下のエラーログを確認します。詳細は、「イベントログ表示／削除」を参照してください。
- RESTful API無効時
  
  Network service startup error. service=GUI <ce#$b cm#$c factor=$d>
- RESTful API有効時
  
  Network service startup error. service=GUI <ce#$b cm#$c factor=$d>
  
  および
  
  Network service startup error. service=Restful API <ce#$b cm#$c factor=$d>
手順4でエラーログが出力されている場合、手順2から再度実行します。手順4でエラーログが出力されていない場合、手順6に進みます。
自己発行証明書をWebブラウザに登録します。詳細は、備考欄を参照してください。

RESTful API有効時は、RESTful APIクライアントに自己発行証明書を反映してから、HTTPS通信を再開します。

注意

Web GUIのHTTPS接続は、工場出荷時に無効になっています。
SSLサーバ鍵と自己発行証明書生成後は、装置に反映が完了するまでRESTful APIおよびWeb GUIによるHTTP/HTTPSアクセスができません。
自己発行証明書は設定用PCのブラウザに登録する必要があります。登録が完了するまで、Web GUI でHTTPS接続時に警告メッセージが表示されます。
以下の条件をすべて満たす場合、本機能を実行すると、結果画面にSMI-Sの再起動を促すメッセージが表示されます。詳細は、「SMI-S設定」を参照してください。
- SMI-Sに「有効にする」が選択されている
- SSL証明書に「Web GUI SSL証明書」が選択されている

備考

SSL証明書には、本機能で生成する「自己発行証明書」と「認証済み証明書」の2 種類があります。HTTPS接続を使用する場合は、どちらか1つを装置に登録してください。「認証済み証明書」を使用する場合は、「Key/CSR 生成」および「SSL サーバ鍵／証明書登録」を参照してください。
鍵サーバでSED認証鍵を管理する場合、装置と鍵サーバ間の通信を確立するため、装置の信頼できるSSL証明書（「自己発行証明書」または「認証済み証明書」）が必要です。鍵管理サーバ連携機能を使用する場合は、SSL証明書を装置に登録してください。SSL証明書は、鍵更新時に装置から鍵サーバへ送信されます。詳細は、「SED認証鍵更新」を参照してください。
Webサイトの自己発行証明書のインストール手順については、『構築ガイド（Web GUI 編）』の「セキュリティ証明書のインストール」を参照してください。

ユーザー権限

デフォルトロールにおける実行可否

デフォルトロール	実行可否
Monitor
Admin
StorageAdmin
AccountAdmin
SecurityAdmin
Maintainer

権限とロールについては、「役割および権限」を参照してください。

設定内容

自己発行証明書生成の設定

項目

説明

設定値

Key Length

SSLサーバ鍵の長さを選択します。

SSLサーバ鍵の長さは暗号化強度に相当します。一般的に鍵が長いほど、暗号強度が高い（暗号化されたデータの解読が困難）とされています。

1024 bit

2048 bit（初期値）

4096 bit

Common Name

Web GUI から HTTPSアクセスで使用するポート（MNT、RMT、またはFST (*1)のどれか1つのポート）の代表IPアドレスまたはFQDN (Fully Qualified Domain Name) を入力します（必須）。

*1

:

ETERNUS DX500 S5/DX600 S5/DX900 S5、ETERNUS DX8100 S4/DX8900 S4、およびETERNUS AF650 S3の場合、FST が対象になります。

代表IPアドレスの指定方法には、「IPv4」と「IPv6」があります。入力できるIPv6アドレスは、「リンクローカルアドレス」、「グローバルアドレス」、「ユニークローカルアドレス」、または「6to4アドレス」です。詳細は、「設定可能なIPv6アドレス」を参照してください。現在の設定状態を表示する際、IPv6アドレスは省略表記になります。

IPv4アドレスの場合
- xxx.xxx.xxx.xxx
  
  xxx：先頭は、1～255（10進数）
  
  xxx：そのほかは、0～255（10進数）
- Class (A, B, C) 内のいずれかであること。
IPv6アドレスの場合

xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx

xxxx：0 ～ ffff (FFFF)（16進数、半角英数字）

詳細は、「IPv6のアドレス表記」を参照
FQDNの場合

1 ～ 63文字の半角英数字記号

（ただし、 "<"、 ">"、 "˜"、 "!"、 "@"、 "#"、 "$"、 "%"、 "^"、 "\"、 "?"、 "&"、およびスペースを除く）

Subject Alt Name

Web GUI から HTTPSアクセスで使用するポート（MNT、RMT、およびFST (*1)の複数のポート）のIPアドレスまたはFQDN を入力します。IPアドレスまたはFQDN には、「Common Name」で入力した代表IPアドレスまたはFQDNが含まれます。

*1

:

ETERNUS DX500 S5/DX600 S5/DX900 S5、ETERNUS DX8100 S4/DX8900 S4、およびETERNUS AF650 S3の場合、FST が対象になります。

IPアドレスの指定方法には、「IPv4」と「IPv6」があります。入力できるIPv6アドレスは、「リンクローカルアドレス」、「グローバルアドレス」、「ユニークローカルアドレス」、または「6to4アドレス」です。詳細は、「設定可能なIPv6アドレス」を参照してください。現在の設定状態を表示する際、IPv6アドレスは省略表記になります。

IPv4アドレスの場合
- xxx.xxx.xxx.xxx
  
  xxx：先頭は、1～255（10進数）
  
  xxx：そのほかは、0～255（10進数）
- Class (A, B, C) 内のいずれかであること。
IPv6アドレスの場合

xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx

xxxx：0 ～ ffff (FFFF)（16進数、半角英数字）

詳細は、「IPv6のアドレス表記」を参照
FQDNの場合

1 ～ 511文字の半角英数字記号

（[ 改行 ] コードも1文字に含みます。ただし、 "<"、 ">"、 "˜"、 "!"、 "@"、 "#"、 "$"、 "%"、 "^"、 "\"、 "?"、 "&"、およびスペースを除く。）

複数のIP アドレスやFQDN を入力できます。複数入力する場合は、1つずつ改行してください。

IPv4アドレス、IPv6アドレス、FQDN が設定欄に混在している場合は、"."（ドット）、":"（コロン）、改行コードを含めて最大511文字が入力できます。

操作手順

[ アクション ] から「自己発行証明書生成」をクリックします。
各項目を設定し、[ 作成 ] ボタンをクリックします。

→ 確認画面が表示されます。
注意
- 以下の場合、エラー画面が表示されます。
  - 入力条件を満たしていない項目が存在する
  - 必須項目を入力していない
[ OK ] ボタンをクリックします。

→ 自己発行証明書生成が開始されます。
[ 完了 ] ボタンをクリックして、[ ネットワーク ] 画面に戻ります。
備考
- 装置への反映が完了するまでRESTful APIおよびWeb GUIによるHTTP/HTTPSアクセスはできません。
- SMI-Sが有効の場合、SMI-Sの再起動を促すメッセージが表示されます。詳細は、「SMI-S設定」を参照してください。