サポートされるキーの最小長が3072のCA証明書CSRファイルを生成しておく必要があります。
CA証明書でサーバー認証とクライアント認証がサポートされている必要があります。
秘密キーとサムプリントの詳細が記載されたCA証明書が必要です。
一方向SSL設定を有効にしておく必要があります。

詳細については、https://storage-system.fujitsu.com/manual/ja/snapcenter/install/reference_generate_CA_certificate_CSR_file.html[「CA証明書を設定します」セクション]を参照してください。
すべてのプラグインホストとSnapCenter Serverで双方向SSL通信を有効にしておく必要があります。

双方向SSL通信が一部のホストまたはサーバーで有効になっていない環境はサポートされていません。

手順

ポートをバインドするには、SnapCenter Serverホストで次の手順を実行します。この手順はPowerShellコマンドを使用してSnapCenter IIS Webサーバーのポート8146（デフォルト）で行ったあと、SMCoreポート8145（デフォルト）でも行います。
1. 次のPowerShellコマンドを使用して、既存のSnapCenter自己署名証明書のポートバインドを削除します。
  
  > netsh http delete sslcert ipport=0.0.0.0:<SMCore port/IIS port>
  
  次に例を示します。
  
  > netsh http delete sslcert ipport=0.0.0.0:8145
  
  > netsh http delete sslcert ipport=0.0.0.0:8146
2. 新しく取得したCA証明書をSnapCenter ServerとSMCoreポートにバインドします。
  
  > $cert = “<CA_certificate thumbprint>”
  
  > $guid = [guid]::NewGuid().ToString("B")
  
  > netsh http add sslcert ipport=0.0.0.0: <SMCore Port/IIS port> certhash=$cert appid="$guid clientcertnegotiation=enable verifyclientcertrevocation=disable
  
  > netsh http show sslcert ipport=0.0.0.0:<SMCore Port/IIS port>
  
  次に例を示します。
  
  > $cert = “abc123abc123abc123abc123”
  
  > $guid = [guid]::NewGuid().ToString("B")
  
  > netsh http add sslcert ipport=0.0.0.0:8146 certhash=$cert appid="$guid clientcertnegotiation=enable verifyclientcertrevocation=disable
  
  > $guid = [guid]::NewGuid().ToString("B")
  
  > netsh http add sslcert ipport=0.0.0.0:8145 certhash=$cert appid="$guid clientcertnegotiation=enable verifyclientcertrevocation=disable
  
  > netsh http show sslcert ipport=0.0.0.0:8146
  
  > netsh http show sslcert ipport=0.0.0.0:8145
CA証明書の権限にアクセスするには、次に示す新しく取得したCA証明書にアクセスする手順に従ってSnapCenterのデフォルトのIIS Webサーバーユーザー「IIS AppPool\SnapCenter」を証明書の権限のリストに追加します。
1. Microsoft管理コンソール（MMC）に移動し、[ファイル] > [スナップインの追加と削除]の順にクリックします。
2. [スナップインの追加と削除]ウィンドウで、[証明書]を選択し、[追加]をクリックします。
3. [証明書スナップイン]ウィンドウで、[コンピューターアカウント]オプションを選択し、[完了]をクリックします。
4. [コンソールルート] > [証明書 - ローカルコンピューター] > [パーソナル] > [証明書]をクリックします。
5. SnapCenter証明書を選択します。
6. ユーザーとアクセス許可の追加ウィザードを開始するには、CA証明書を右クリックし、[すべてのタスク] > [秘密キーの管理]の順に選択します。
7. [追加]をクリックし、[ユーザーとグループの選択]ウィザードで場所をローカルコンピューター名（階層の一番上）に変更します。
8. IIS AppPool\SnapCenterユーザーを追加し、フルコントロール権限を付与します。
*CA証明書IIS権限*の場合、次のパスからSnapCenter Serverに新しいDWORDレジストリーキーエントリを追加します。

Windowsレジストリーエディターで次のパスに移動します。

HKey_Local_Machine\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
SCHANNELレジストリー設定のコンテキストで、新しいDWORDレジストリーキーエントリを作成します。

SendTrustedIssuerList = 0

ClientAuthTrustMode = 2

双方向SSL通信用のSnapCenter Windowsプラグインの設定

PowerShellコマンドを使用して、SnapCenter Windowsプラグインで双方向SSL通信を使用できるように設定する必要があります。

開始する前に

CA証明書サムプリントが使用可能であることを確認します。

手順

ポートをバインドするには、WindowsプラグインホストでSMCoreポート8145（デフォルト）に対して次の操作を実行します。
1. 次のPowerShellコマンドを使用して、既存のSnapCenter自己署名証明書のポートバインドを削除します。
  
  > netsh http delete sslcert ipport=0.0.0.0:<SMCore port>
  
  次に例を示します。
  
  > netsh http delete sslcert ipport=0.0.0.0:8145
2. 新しく取得したCA証明書をSMCoreポートにバインドします。
  
  > $cert = “<CA_certificate thumbprint>”
  
  > $guid = [guid]::NewGuid().ToString("B")
  
  > netsh http add sslcert ipport=0.0.0.0: <SMCore Port> certhash=$cert appid="$guid clientcertnegotiation=enable verifyclientcertrevocation=disable
  
  > netsh http show sslcert ipport=0.0.0.0:<SMCore Port>
  
  次に例を示します。
  
  > $cert = “abc123abc123abc123abc123”
  
  > $guid = [guid]::NewGuid().ToString("B")
  
  > netsh http add sslcert ipport=0.0.0.0:8145 certhash=$cert appid="$guid clientcertnegotiation=enable verifyclientcertrevocation=disable
  
  > netsh http show sslcert ipport=0.0.0.0:8145