2.2.5 Exascale制御サービスの証明書の管理

Exascale制御サービスは、Exascale RESTfulサービス(ERS)とも呼ばれ、Exascale管理操作に管理エンドポイントを提供します。証明書により、HTTPSを介したERSプロセスのセキュアな通信が可能になります。

ERSサービス・インスタンスは、フロントエンドおよびバックエンドのサーバー・プロセスを使用してデプロイされます:

• フロントエンドERSプロセスは、ロード・バランシング機能を備えた高可用性のクライアント・エンドポイントを提供します。対応するフロントエンドERS証明書により、ERSと外部クライアント(Exascaleコマンドライン・インタフェース(ESCLI)など)間のセキュアな通信が可能になります。

• バックエンドERSプロセスは、他のソフトウェア・サービスと連携してリクエストを処理し、クライアントに返信します。高可用性を実現し、ワークロードを分配するために、複数のバックエンドERSインスタンスがExadataストレージ・サーバーに分散されます。

デフォルトでは、ERSは自己署名セキュリティ証明書を使用します。必要に応じて、独自の自己署名証明書または認証局(CA)によって発行された信頼できる証明書のいずれかの証明書を指定できます。信頼できる証明書は外部クライアントに直接表示されるため、フロントエンドERSサーバーには一般的に推奨されます。

ERS証明書を指定するには、ExaCLIユーティリティを使用する必要があります。ExaCLIユーティリティの構成および使用の詳細は、「ExaCLIユーティリティの使用」を参照してください。

• フロントエンドERSプロセスでは、ERSエンドポイントに関連付けられた仮想IP (VIP)アドレスおよびホスト名にバインドされた証明書を使用します。フロントエンドERSセキュリティ証明書を指定するには、ExaCLIを使用してストレージ・サーバーのESNODEオブジェクトを変更し、次の属性を設定する必要があります:

  • securityPubKey - 証明書の公開キー・ファイルのURLを指定します。

  • securityPrivKey - 証明書の秘密キー・ファイルのURLを指定します。

  • securityPrivKeyPW - 秘密キー・ファイルが暗号化されている場合に使用するパスワードを指定します。

    securityPrivKeyPW=*を指定すると、ユーザーはパスワードの入力を求められます。

  それらのキーは、PEMでエンコードされたファイルとして提供する必要があります。各URLでは、http、httpsまたはfileアクセス・スキームを使用できます。

  次に例を示します:

  $ exacli -l celladministrator -c cellhost  -
           -e 'ALTER ESNODE securityPubKey="file:///root/security/newkey.pem.crt", -
               securityPrivKey="file:///root/security/newkey-private.pem", -
               securityPrivKeyPW=*'
  
  Password: *********
  ...

  フロントエンドERSプロセスをホストできるすべてのストレージ・サーバーに同じ証明書をデプロイする必要があります。

• バックエンドERSプロセスでは、Exadata Management Server (MS)と同じ証明書を使用します。MSおよびバックエンドERSプロセスの証明書を指定する方法の詳細は、「セキュリティ証明書の指定」を参照してください。