<book_title> を検索 ...

NetBackup™ 状態コードリファレンスガイド

Last Published: 2025-04-25

Product(s): NetBackup & Alta Data Protection (11.0)

NetBackup の状態コード: 8798

メッセージ: FIPS モードが有効なため、ホストの証明書を検証できません。

説明: NetBackup Web 管理コンソールサービス (nbwmc) には、次のような他の製品やサブシステムと通信するワークフローが多数あります。

メディアサーバー重複排除プール (MSDP)
Cohesity Resiliency Platform (VRP)
WebSocket サーバー
他の NetBackup ドメインからの信頼できるプライマリサーバー (NetBackup 自動イメージレプリケーション)
Snapshot Manager

これらの通信は HTTPS ベースであるため、リモートエンティティの SSL ハンドシェークと証明書チェーンの検証が行われます。これらの通信では、まずリモートエンティティから CA 証明書の詳細をフェッチする API を呼び出し、エンドユーザーに指紋などの証明書の詳細を表示します。エンドユーザーが証明書を受け入れると、証明書の詳細が NetBackup の適切なトラストストアに保存されます。これらの保存された CA 証明書は、リモートエンティティの ID を検証するために、後続の API ワークフローで使用されます。

リモートエンティティの CA 証明書をフェッチするための API は、ピア証明書を検証しません。NetBackup には、SSL ハンドシェーク中にピアを検証する事前構成のトラストストアがありません。操作を続行する前に、NetBackup ではユーザーにこのような CA 証明書を信頼するか拒否するかを確認します。ただし、プライマリサーバーで FIPS が有効になっている場合は、ブートストラップの呼び出し (リモートエンティティの CA 証明書をフェッチして、ユーザーに信頼するか拒否するかを確認する) はできません。FIPS を適用するには、SSL ハンドシェーク中にリモートエンティティが提示するサーバー証明書の検証が必要です。つまり、プライマリサーバーが FIPS モードで実行されている場合、これらの API は機能しなくなります。

FIPS モードが有効になっている場合に機能しない API のリスト:

GET /config/remote-master-server-cacerts/{remoteMasterServer}

POST /config/servers/wssendpoints/validateurl

```
POST /config/servers/wssendpoints/validatehost
```
この API は、ペイロードで証明書が渡されていない場合は機能しません。NetBackup が FIPS モードで実行されている場合でも、証明書が渡されていなければ、API は別のエラーを返します。

GET /resiliency/servers/{resiliencyManager}/cacerts

```
POST /config/servers/msdp-servers
```
バージョン 8.3 から 9.0 までの、旧バージョンの新しい MSDP サーバーが追加された場合にのみ適用されます。NetBackup 10.0 以降のバージョンにも、FIPS を有効にした状態で適用されます。

推奨処置: この問題を解決するため、次の場所にある FIPS 準拠の一時的なトラストストアが NetBackup 10.0 に導入されました。

install_path/var/global/wsl/credentials/cacerts.bcfks

NetBackup プライマリサーバーが FIPS モードで実行されている場合、管理者は、このトラストストアでリモートエンティティの CA 証明書がすでに利用可能になっていることを確認する必要があります。この確認は、リモートエンティティの CA 証明書をフェッチするために API を呼び出す前に実行する必要があります。NetBackup Web サービス API のワークフローでは、このトラストストアを使用して、NetBackup が通信するリモートエンティティの ID を確認します。

NetBackup 管理者に問い合わせて、サーバーの真正性を検証するため、トラストストアにターゲットサーバーの CA 証明書を追加するよう依頼してください。

メモ:

FIPS モードで実行するように構成されている NetBackup プライマリサーバーで、次の手順を実行する必要があります。

プライマリサーバーで利用可能な keytool コマンドを使用して、CA 証明書をトラストストア install_path/var/global/wsl/credentials/cacerts.bcfks にインポートできます。このトラストストアは、唯一の FIPS 完全準拠ストア形式である BCFKS 形式のトラストストアであるため、-providerclass と -providerpath のオプションが必要です。

リモートエンティティの CA 証明書は、PEM エンコード形式のファイルである必要があります。CA 証明書は、FIPS モードで実行されている NetBackup プライマリサーバーにコピーする必要があります。

リモートエンティティの CA 証明書を PEM 形式ファイルにエクスポートする手順は異なる場合があります。情報を取得する方法の 1 つとして、次の keytool コマンドを使用できます。NetBackup 管理者は、NetBackup を統合する予定の製品またはサブシステムのマニュアルを参照する必要があります。たとえば、NetBackup で VRP サーバーを追加する場合、VRP サーバーの CA 証明書を PEM 形式で取得するための手順は、VRP のマニュアルで参照できます。

次の keytool コマンドを使用して、CA 証明書を install_path/var/global/wsl/credentials/cacerts.bcfks にインポートします。

Windows の場合:

install_path\java\jre\bin\keytool -storetype BCFKS 
-providerpath install_path\wmc\webserver\lib\ccj.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-importcert -trustcacerts -file <CA certificate file (PEM encoded) path> 
-keystore install_path\var\global\wsl\credentials\cacerts.bcfks 
-storepass <password from the install_path\var\global\jkskey file> 
-alias <alias name of the trusted certificate entry to be added>

UNIX の場合:

/usr/openv/java/jre/bin/keytool -storetype BCFKS 
-providerpath /usr/openv/wmc/webserver/lib/ccj.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-importcert -trustcacerts -file <CA certificate file (PEM encoded) path> 
-keystore install_path/var/global/wsl/credentials/cacerts.bcfks 
-storepass <password from the /usr/openv/var/global/jkskey file> 
-alias <alias name of the trusted certificate entry to be added>

NetBackup では、ブートストラップ呼び出しが実行された後は、これらの CA 証明書を必要としません (以降の API 呼び出しでは、これらの CA 証明書エントリが入力された別のトラストストアを使用します)。Cohesity では、NetBackup でリモートエンティティを構成したら、エントリをクリーンアップすることをお勧めします。一時キーストアからエントリを削除するには:

Windows の場合:

install_path\java\jre\bin\keytool -storetype BCFKS 
-providerpath install_path\wmc\webserver\lib\ccj.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-importcert -trustcacerts -file <CA certificate file (PEM encoded) path> 
-keystore install_path\var\global\wsl\credentials\cacerts.bcfks 
-storepass <password from the install_path\var\global\jkskey file> 
-delete -alias <alias of the entry to be deleted>

UNIX の場合:

/usr/openv/java/jre/bin/keytool -storetype BCFKS 
-providerpath /usr/openv/wmc/webserver/lib/ccj.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-keystore /usr/openv/var/global/wsl/credentials/cacerts.bcfks 
-storepass <password from the /usr/openv/var/global/jkskey file> -delete 
-alias <alias of the entry to be deleted>

信頼できるプライマリサーバーを構成するには、次の手順を実行します。

信頼できるプライマリサーバーを構成するには

宛先プライマリサーバーで次の操作を実行します。

keytool コマンドを使用して、BCFKS 形式のトラストストアから CA 証明書をエクスポートします。

/usr/openv/java/jre/bin/keytool -storetype BCFKS 
-providerpath /usr/openv/wmc/lib/ccj.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-exportcert -alias <alias of the cert to be exported> 
-keystore <BCFKS format trust store> -storepass <store password> -rfc 
-file <destination PEM file in which this CA certificate will be exported>

例:

Windows の場合:

install_path\jre\bin\keytool 
-providerpath install_path\wmc\lib\ccj.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-storetype BCFKS -export -alias nbwmc -rfc 
-file <file name of the CA cert PEM> 
-keystore install_path\var\global\wsl\credentials\nbwebservice.bcfks 
-storepass <password from install_path\var\global\jkskey>

UNIX の場合:

/usr/openv/java/jre/bin/keytool -providerpath /usr/openv/wmc/lib/ccj.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-storetype BCFKS -export -alias nbwmc -rfc 
-file /usr/openv/var/global /wsl/credentials/nbwmc.pem 
-keystore /usr/openv/var/global/wsl/credentials/nbwebservice.bcfks 
-storepass <password from /usr/openv/var/global/jkskey>

手順 1 のコマンドの実行の一部として作成された PEM ファイルを、宛先プライマリサーバーからソースプライマリサーバーにコピーします。

ソースプライマリサーバーで、PEM ファイルから CA 証明書を install_path/var/global/wsl/credentials/cacerts.bcfks にインポートします。

Windows の場合:

install_path\java\jre\bin\keytool -storetype BCFKS 
-providerpath install_path\wmc\webserver\lib\ccj.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-importcert -trustcacerts -file <CA certificate file (PEM encoded) path> 
-keystore install_path\var\global\wsl\credentials\cacerts.bcfks 
-storepass <password from the install_path\var\global\jkskey file> 
-alias <alias name of the trusted certificate entry to be added>

UNIX の場合:

/usr/openv/java/jre/bin/keytool -storetype BCFKS 
-providerpath /usr/openv/wmc/webserver/lib/ccj.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-importcert -trustcacerts -file <CA certificate file (PEM encoded) path> 
-keystore install_path/var/global/wsl/credentials/cacerts.bcfks 
-storepass <password from the /usr/openv/var/global/jkskey file> 
-alias <alias name of the trusted certificate entry to be added>

(該当する場合) ソースプライマリサーバーの CA 証明書を宛先プライマリサーバーにインポートするには、手順 1、2、3 に従う必要があります。手順 1 では、宛先プライマリサーバーがソースになり、ソースが宛先になります。この変更により、両方のプライマリサーバーの CA 証明書が install_path/var/global/wsl/credentials/cacerts.bcfks で利用可能になります。
リモートエンティティに JKS 形式のキーストアがある場合は、次のコマンドを使用して PEM 形式の CA 証明書をエクスポートできます。
keytool コマンドを使用した、JKS 形式のトラストストアからの CA 証明書のエクスポート:
```
/usr/openv/java/jre/bin/keytool -exportcert 
-alias <alias of the cert to be exported> 
-keystore <trust store path> 
-storepass <store password> -rfc 
-file <destination PEM file in which this CA certificate will be exported>
```

この状態コードに関するベリタステクニカルサポート Web サイトのテクニカルノートとその他の情報を確認するには、ここをクリックしてください。