ご使用の環境で HMC のセキュリティーがどのように行われるかを理解します。
システム・マネージャー・セキュリティーによって 、HMC は、クライアント/サーバー・モードでの操作が安全確実に行われるようになります。 サーバーとクライアントは、サーバー認証、データ暗号化、およびデータ保全性を備えた SSL (Secure Sockets Layer) プロトコルを使用して通信します。 それぞれのシステム・マネージャー・サーバーには、 独自の秘密鍵、およびシステム・マネージャー・クライアントにトラストされ、 認証局 (CA) が署名した公開鍵の証明書があります。 秘密鍵およびサーバーの証明書は、サーバーの秘密鍵リング・ファイルに保管されています。 各クライアントは、トラステッド CA の証明書が含まれている公開鍵を持っている必要があります。
認証局 (CA) は、トラステッド・セントラルの管理エンティティー (この場合は、ローカル HMC) であり、デジタル証明書をクライアントとサーバー (図 1 の HMC4) に対して発行することができます。CA にあるトラストは、証明書の中で有効な信任状としてトラストの基礎となります。 CA は、証明書の原点を確認するために発行する証明書の中にデジタル署名を作成するときに、 この秘密鍵を使用します。 その他の人 (システム・マネージャー・クライアントなど) は、CA 証明書の公開鍵を使用して、CA が発行する証明書の認証性と署名を検査することができます。
すべてのデジタル証明書は、関連付けされた一対の暗号鍵を持っています。 この鍵ペアは、公開鍵と秘密鍵で構成されます。 公開鍵は、所有者のデジタル証明書の一部分であり、誰でも使用できます。 それに対して、秘密鍵はその鍵の所有者だけが使用できるもので、所有者によって保護されています。 このようにアクセスを限定することによって、その鍵を使用する通信が確実に保護されます。 証明書の所有者は、これらの鍵を使用して、 この鍵が提供する暗号セキュリティー・フィーチャーを有効に活用することができます。 例えば、証明書の所有者は、証明書の秘密鍵を用いて、クライアントとサーバーの間で送信される、 メッセージ、ドキュメント、およびコード・オブジェクトなどのデータに「署名」したり、暗号化したりすることができます。 そのあとで、署名されたオブジェクトを受け取った受信者は、署名者の証明書に含まれている公開鍵を用いて、 署名の暗号を復号することができます。 このように、デジタル署名は、オブジェクトの原点の信頼性を保証し、 オブジェクトの保全性のチェックの手段を提供しています。
サーバーとは、リモート側でアクセスする HMC です。 図 1 で、HMC 1、3、および 4 はサーバーです。 クライアントとは、他の HMC にリモート側でアクセスするためのシステムです。 図 1 では、Web-based System Manager Remote Client A、B、および C と、HMC 1、2、および 5 がクライアントです。 図 1 に示されているように、ご使用のプライベート・ネットワークおよびオープン・ネットワークで、 複数のサーバーおよびクライアントを構成することができます。
HMC は同時に複数の役割を持つことができます。 例えば、1 台の HMC が、図 1 の中の HMC1 のようにクライアントとサーバーの両方になることもできます。また、1 台の HMC が、同時に CA、サーバー、およびクライアントになることもできます。
それぞれのサーバーには、固有の秘密鍵、およびクライアントが信認する 認証局 (CA) が署名した公開鍵の証明書が必要です。 各クライアントには、認証局 (CA) の公開鍵のコピーが必要です。
リモート・クライアントのインストールとセキュリティーに記載されているタスクの概要は次のとおりです。
- 1 台の HMC を認証局 (CA) として構成します。
- この HMC を使用して、サーバーの秘密鍵を生成します。
- サーバーに秘密鍵をインストールします。
- セキュア・システム・マネージャー・サーバーとしてサーバーを構成します。
- CA の公開鍵をサーバーまたはクライアントに配布します。