クラウド・ストレージ・ソリューションがセキュア・ソケット・レイヤー(SSL)を使用し、クラウドとのファイル転送中にファイルを暗号化するように設定できます。
- このタスクには、*SYSTEM 証明書鍵ストアを作成するステップが含まれています。 この鍵ストアは既に作成済みである場合があります。 その場合は、そのパスワードが必要になります。 管理者に IBM i その情報は管理者に聞いてください。
ファイルを暗号化するには、クラウド・プロバイダーから正しい認証局をダウンロードする必要があります。 認証局をダウンロードするには、クラウド・ストレージの Uniform
Resource Identifier (URI) をブラウザーに入力する必要があります。 サード・パーティーのクラウド・プロバイダーでアカウントを作成すると、プロバイダーからこのストレージ URI が送られてきます。 認証局をダウンロードするために入力する URI が実際のストレージ・ロケーション URI であることを確認する必要があります。 実際のストレージ・ロケーション URI でない場合、誤った認証局をダウンロードすることになり、リソースに関するアクションは失敗します。
プロバイダー・サイトによっては、ブラウザーに URI を入力すると別のページに自動的にリダイレクトされることがあります。 リダイレクトされる場合、URI を編集してストレージ URI に一致するようにする必要があります。 また S3 リソースが自動的に生成される。 例えば S3 リソースを作成するときは、URI https://s3.amazonaws.com を指定します。 しかし、実際のバケット・ロケーションは https://companyA-west.s3.amazonaws.com/companyA-west、またはこれに似たものである可能性があります。 正しい S3 URIを入力する必要があります。
- 使用する必要のある SSL オプション (SSL プロトコル、SSL 暗号、SSL 署名アルゴリズムなど) に影響する社内ポリシーをすべて把握しておく必要があります。
SSL暗号化用にクラウド・ストレージ・ソリューションを設定するには、アカウント作成時にクラウド・プロバイダーから受け取ったリソースURIから認証局をダウンロードする必要があります。 その後 IBM i Digital Certificate Manager (DCM)を使用して*SYSTEM証明書キーストアを作成し、証明機関をキーストアに追加し、証明機関を Cloud Storage Solutions アプリケーションに関連付けます。
SSL を構成した後、アカウントを使用するリソースを作成または変更し、資源 URI に https プロトコルを含める必要があります。 そうすると、そのリソースを使用してクラウドにコピーされるファイルは、コピーされている間は暗号化され、クラウド・コンピューターに到達すると暗号化解除されます。 クラウドからホスト・コンピューターにファイルをコピーする場合 IBM i 同じリソースを使用してクラウドからホスト・コンピュータにファイルをコピーし直す場合、ファイルはコピー中に暗号化され、ホスト・コンピュータ上で暗号化したのと同じ鍵を使用して復号化されます。 IBM i で復号化されます。
クラウドコンピュータ上の「静止状態」にあるファイルを暗号化するには、 クラウド・ストレージ・ソリューションの静止状態でのファイル暗号化の設定を参照してください。
SSL暗号化は Cloud Storage Solutions ベーシックエディションでご利用いただけます。
のSSL使用に関する一般的な情報については IBM i の使用に関する一般的な情報については、 IBM i セキュリティ・ソケット・レイヤー・ガイドを参照してください。
SSL 暗号化を構成するには、以下の手順を実行してください。
- *SYSTEM 証明書鍵ストアを作成します。
- デジタル証明書マネージャーを使用する権限を持つユーザーとして IBM Navigator for i にログインします。
- ナビゲーション・ペインで、 「セキュリティ 」をクリックする。
- デジタル Certificate Manager。
- 証明書ストアの作成 」をクリックします。
- SYSTEMを選択し、 Continueをクリックします。
注: オプションが「 その他のシステム証明書ストア 」のみの場合、*SYSTEM 証明書ストアはすでに存在する。 「キャンセル」をクリックし、ステップ 2 に進んでください。
- No - 証明書ストアに証明書を作成しない 」を選択する。
- 証明書キーストアのパスワードを入力し、確認のためにもう一度入力して、 Continueをクリックする。
- 「OK」をクリックします。 ログアウトしないでください。
- 資源 URI ロケーションから認証局をダウンロードします。 例えば、Microsoft Windows の Chrome ブラウザーで、以下のステップを実行します。
- ブラウザーで資源 URI を入力します。 (サイトに「無許可」ページが表示される場合、続行します)
クラウド・プロバイダー Web サイトで別のページにリダイレクトされないことを確認してください。 別のページにリダイレクトされる場合、URI を編集して、資源 URI と完全に一致するようにしてください。
- ブラウザーのカスタマイズとコントロールのアイコンをクリックします。
- 選択する。
- セキュリティ」 タブをクリックし、「 証明書の表示 」をクリックします。
- 「証明書」ダイアログで、「詳細」タブをクリックします。
- ファイルにコピー 」をクリックする。
- 証明書のエクスポート・ウィザードで、「 次へ 」をクリックします。
- Cryptographic Message Syntax Standard - PKCS #7 Certificates (.P7B ) フォーマットを選択し、 可能であればInclude all certificates in certification pathを選択する。
ご使用のブラウザーに関係なく、証明パスにあるすべての認証局がダウンロードされていることを確認する必要があります。
- Browseをクリックしてファイル名とローカルの場所を指定し、ファイルを保存します。
- 証明書ファイルを IBM i コンピュータ上の任意のディレクトリにコピーする。
- 証明書を *SYSTEM 鍵ストアにインポートします。
- IBM Navigator for i で、デジタル証明書マネージャーを開きます。
- ナビゲーション・ペインで、「 証明書ストアを開く 」をクリックします。
- SYSTEMを選択し、 Continueをクリックします。
- 証明書ストアのパスワード」 フィールドに、手順1で作成した*SYSTEMキーストアのパスワードを入力し、「 Continue 」をクリックします。 ナビゲーション・ペインに、*SYSTEM 鍵ストアを使用して実行できるタスクが表示されます。
- ナビゲーション・ペインで、「 」の順にクリックします。
- インポートする証明書のタイプとして認証局(CA )を選択し、 Continueをクリックします。
- ステップ2で IBM i コンピュータにコピーした証明書ファイルのパスとファイル名を入力し、「 続行 」をクリックします。
- 証明書のラベルを入力し、「 Continue 」をクリックします。 証明書が *SYSTEM 鍵ストアにインポートされます。 「OK」をクリックします。 デジタル証明書マネージャーからログアウトしないでください。
- クライアントアプリケーションリストにクラウドストレージソリューションを追加:
- Digital Certificate Manager のナビゲーションペインで、 をクリックします。
- クライアント(Client)] を選択し、[ 続行(Continue)] をクリックします。
- アプリケーションの追加ページで、 アプリケーションID フィールドに IBM_QICC と入力する。
- Application description を選択し、フィールドに IBM
Cloud Storage Solutions for i と入力する。
- 「CA 信頼リストの定義 」フィールドで、 「いいえ」 を選択します。
- 企業ポリシーに一致する SSL 値 (SSL プロトコル、SSL 暗号、SSL 署名アルゴリズムなど) を選択します。
- Addをクリックし、 OKをクリックする。
- 認証局を Cloud Storage Solutionsの信頼リストに追加する:
- Digital Certificate Manager ナビゲーションペインで、 をクリックします。
- クライアント(Client)] を選択し、[ 続行(Continue)] をクリックします。
- IBM Cloud Storage Solutions for i を選択し、 Define CA Trust List をクリックする。
- ステップ3でインポートしたすべての認証局を選択し、[ OK]をクリックします。
リソース内で SSL を有効にするには、リソースを作成または変更し、資源 URI に https プロトコルを指定します。