このページは、セキュリティー・レベルと、安全なクラスター通信に使用する証明書および暗号鍵を含め、新規クラスターのセキュリティーを構成するために使用します。
フィールド
ユーザーが構成するセキュリティー設定により、クラスター通信の保護に使用されるセキュリティー・レベルと方式が決まります。
- セキュリティー・レベル
- クラスターのセキュリティー・レベルにより、クラスターに使用する全体的な保護レベルが決まります。
新規クラスター用に以下のいずれかのセキュリティー・レベルを選択してください。
- 低
- セキュリティー・レベルにこの設定を使用すると、クラスター通信の最小限のセキュリティーが設定されます。
このセキュリティー・レベルで交換される大半のパケットでは、パケット保全性に最も重点が置かれます。
これは、パケットを完全に暗号化する代わりに、パケットのハッシュを行うことで可能となります。
クラスターが信頼性の高いネットワーキング環境にデプロイされていれば、このセキュリティー・レベルは十分にお客様のニーズに対応可能と考えられます。
これがデフォルト設定です。
- 中
- セキュリティー・レベルにこの設定を使用すると、一部の通信パケットは完全に暗号化され、一部のパケットは完全性検査付きで交換されます。
- 高
- セキュリティー・レベルにこの設定を使用すると、ほぼすべてのクラスター通信が暗号化されます。
このレベルのセキュリティーを使用すると、詳細な暗号化の使用によるオーバーヘッド増大のために、通信パフォーマンスが低下するおそれがあります。
- セキュリティー・ノード ID
- セキュリティー・ノード ID は、クラスターが認証に使用する証明書のタイプと、関連する公開鍵/秘密鍵ペアを示します。
この鍵ペアは、ノード間で配布される対称鍵を保護および暗号化するために使用され、その後クラスター通信を暗号化および保護するために使用されます。
証明書のタイプを選択可能であるため、環境内にすでに存在するインフラストラクチャーに基づいてクラスターのセキュリティーをデプロイすることができます。
新規クラスターについて、以下のいずれかのセキュリティー・ノード ID タイプを選択してください。
- PowerHA 証明書/鍵
- このオプションを選択すると、クラスター内のノードは、自己生成した証明書および関連する公開鍵/秘密鍵ペアを使用できます。
このオプションによって、PowerHA™ SystemMirror は、鍵ペアを動的に生成し、必要に応じてクラスター内の他のノードと交換することができます。
この設定では、信頼できるネットワーキング環境が前提となっています。
これがデフォルト設定です。
- SSH 証明書/鍵
- このオプションを選択すると、PowerHA SystemMirror は、さまざまなノード上の SSH デーモンを保護するために構成された公開鍵/秘密鍵ペアを使用できます。
- ユーザー定義証明書/鍵
- このオプションを選択すると、選択した証明書と秘密鍵ペアが含まれている特定のファイルをご使用の環境で使用できます。
このオプションを選択した場合は、証明書および関連する鍵の絶対パスとファイル名も指定する必要があります。
パスおよびファイル名は、クラスター内の各ノードに存在する必要があります。
また、このファイルには各ノードに関する情報が含まれていることが必要です。
- 対称アルゴリズム
- クラスター内の通信を暗号化するためにクラスター内のノード間で共有される、対称鍵の生成に使用するアルゴリズムを指定します。
対称鍵の生成に使用する、以下のいずれかのアルゴリズムを選択してください。
- DES (Data Encryption Standard)
- 56 ビット対称鍵を生成します。
これがデフォルト設定です。
- 3DES (Triple Data Encryption Algorithm)
- 3 つの DES 鍵を使用して、より長い、安全な対称鍵を生成します。
- AES (Advanced Encryption Standard)
- 最小サイズが 128 ビットの対称鍵を生成し、最も強い暗号セキュリティーを提供します。
- 非対称アルゴリズム
- 非対称アルゴリズムは、ノードを識別し、クラスター全体で対称鍵を安全に交換するために使用します。
- 証明書の自動配布
- クラスター作成時に、クラスター内のノードの証明書を自動配布するかどうかを指定します。
- 猶予期間 (日数)
- 期限切れの対称鍵または公開鍵からのメッセージが、有効とされ、クラスター内のノードで受け入れられる日数を指定します。
定期リフレッシュ・レートに基づいて新しい鍵が生成されると、暗号鍵は、対称鍵であるか証明書からの公開鍵であるかにかかわらず、期限切れになります。
猶予期間を設定することで、以前の鍵ですでに暗号化されているメッセージは、指定した期間だけ有効なままになります。
デフォルトは 24 日間です。
- 定期リフレッシュ・レート (日)
- クラスター内のノードの証明書および鍵がリフレッシュまたは再生成されるまでの時間を指定します。
デフォルトは 24 日間です。
- 証明書
- このフィールドは、「セキュリティー・ノード ID」が「ユーザー定義証明書/鍵」に設定されている場合にのみ使用可能です。
ユーザー定義証明書がある場所の絶対パスとファイル名を入力してください。
- 鍵
- このフィールドは、「セキュリティー・ノード ID」が「ユーザー定義証明書/鍵」に設定されている場合にのみ使用可能です。
ユーザー定義証明書に関連付けられている鍵がある場所の絶対パスとファイル名を入力してください。