VNX：VNX2のTLSv1.1およびTLSv1.2のサポート

多くのお客様は、環境内でTLS 1.0を無効にする必要があるという要件を抱えています。

これは、VNX Operating Environmentバージョン8.1.9.231以降で修正されています。  このバージョンでは、新しいコマンドnas_tlsが導入されています。  コマンド構文は次のとおりです。

[root@cs0 nasadmin]# nas_tls-help
使用法: nas_tls
-info
| -set { tls1Enabled | tls1Disabled } [-force]
| -setCSLDAP { TLSv1 |TLSv11の |TLSv12 }
|-setSPLDAP {tls1Enabled | tls1Disabled}

-情報: ファイル側のApache、ECOM、Data Mover、CS LDAPクライアント、ブロック側のManagement Server、SP LDAPクライアントでサポートされているTLSバージョンを一覧表示します。
-設定： ファイル側のApache、ECOM、Data Mover、CS LDAPクライアント、およびブロック側のManagement Server、SP LDAPクライアントに対してTLS 1.0を有効または無効にします。

メモ: TLS v1.0が無効になっている場合、ECOM、Apache、Data MoverはTLS 1.1とTLS 1.2のみをサポートします。TLS v1.0が有効になっている場合、ECOM、Apache、Data MoverはTLS 1.0、TLS 1.1、TLS 1.2をサポートします。

-setCSLDAP:   Control Station LDAPクライアントのTLSバージョンを設定します。LDAPサーバーとの通信には、選択したTLSバージョンのみが使用されます。  一部のLDAPサーバーはTLS v1.0以外をサポートしていないため、CS LDAPのTLSバージョンを個別に設定できます。

-setSPLDAP:   ストレージ プロセッサーLDAPクライアントのTLS 1.0を有効または無効にします。  一部のLDAPサーバーはTLS v1.0以外をサポートしていないため、SP LDAPクライアントのTLSバージョンを個別に設定できます。
 

Apacheへの変更を完全に有効にするには、Apacheを手動で再起動する必要があることに注意してください。  Control Stationを再起動するか、Apacheプロセスを強制終了することができます(自動的に再起動します)。

一致するブロック側のコードは05.33.009.5.231です。  一致するファイルとブロック コードは、 KB記事382638.

に記載されています。このリリースのリリース ノートも ダウンロードできます。

このアップデートを受け取るには、VNX OE 8.1.9.231以降にアップグレードしてください。  このアップデートは、以前のバージョンにはバックポートされません。  このアップデートは、VNX1シリーズ アレイにはバックポートされません。

nas_tls -infoの出力例:
 

[root@cs0 nasadmin]# nas_tls -info
ブロック側でサポートされているTLSバージョン
管理サーバー: TLSv1.1    TLSv1.2
SP LDAP                  : TLSv1.1    TLSv1.2

TLS versions supported on File side
CS LDAP                  : TLSv1.2
Apache                   : TLSv1.0、TLSv1.1、TLSv1.2
ECOM: TLSv1.1    TLSv1.2
server_2                 : TLSv1.1    TLSv1.2
server_3                 : TLSv1.1    TLSv1.2