Blancco LUN (UNIX) HTTPS通信時の証明書検証を有効にしたい

問題事象

デフォルト設定ではBlanco LUN EraserはHTTPSで接続するときにBlancco Management Consoleの証明書の有効性を検証しませんが、セキュリティを高めたい場合には検証を有効にできます。

検証を有効にした場合、Blancco Management Consoleのホスト名が証明書のホスト名と一致している必要があり、証明書の署名者は信頼されている必要があります。 これら条件が満たされない場合は次のエラーコードが表示されます (この例ではIPアドレスが192.168.1.1のManagement Consoleと通信を試みています) 。

ステップバイステップガイド

LUN Eraserの設定ファイル内でVerifyMCCertオプションを変更してください。値を1にすれば検証が有効に、0にすれば無効になります。

証明書の署名者の信頼が失敗し、通信ができない現象が時々報告されています。これは例えばBlancco LUN Eraserを実行している環境が長期間更新されていない場合やBlancco Management Consoleの証明書が自己署名されている場合などに発生する可能性があります。この場合、信頼できる署名者 (認証局) のリストに証明書の署名者を追加する必要があります。 具体的には、署名者の証明書ファイルをデフォルトの設置場所である「/etc/ssl/certs」か「/etc/pki/tls/certs/ca-bundle.crt」のいずれかまたは環境に合わせて独自の場所に設置してください。

設置場所はMCCertPathオプションを使って独自に変更できます。例えば次のように記述すると「/tmp/mc_certificate」も証明書の検索対象になります。