Using Certificate Signed by Internal CA
Veeam Backup & Replicationでは、バックアップサーバーと保護対象コンピューターとの安全な接続を確立するために、TLS証明書が使用されます。デフォルトでは、Veeam Backup & Replicationでは自己署名証明書が使用されます。ユーザーがVeeamバックアップサーバーにこの製品をインストールすると、Veeam Backup & Replicationによってこの証明書が生成されます。
内部認証局(CA)に署名された証明書を使用する必要がある場合は、以下の要件を満たしていることを確認してください。
- Veeam AgentとVeeam Backup & ReplicationでそのCAが信頼されている必要があります。つまり、その認証局の証明書が、Veeamバックアップサーバー上とVeeam Agentコンピューター上のTrusted Root Certification Authorityストアに追加されている必要があります。
- 証明書失効リスト(CRL)にVeeamバックアップサーバーとVeeam Agentコンピューターからアクセス可能である必要があります。
- [LinuxベースのVeeam Agentコンピューターの場合] OpenSSLバージョン1.0以降がVeeam Agentコンピューターにインストールされている必要があります。
CAに署名された証明書が以下の要件を満たしている必要があります。
- 証明書の件名がVeeamバックアップサーバーの完全修飾ドメイン名と同じである必要があります。たとえば、vbrserver.domain.localなどです。
- Veeam Agentコンピューター用に子証明書を署名および導入するために、証明書において以下のキー使用拡張が有効になっている必要があります。
- Digital Signature
- Certificate Signing
- Off-line CRL Signing
- CRL Signing (86)
Windows Server認証局を使用する場合は、組み込みの[Subordinate Certification Authority]テンプレート、またはそれに類似するテンプレートに基づいてVeeam Backup & Replication証明書を発行することをお勧めします。
- [Basic Constraints]に「pathLen=0」を追加することを強くお勧めします。
Windows Server認証局を使用する場合に、これを行うには、証明書テンプレートで[Do not allow subject to issue certificates to other CAs]オプションを有効にします。
- 証明書内のキーの種類が[Exchange]に設定されている必要があります。
Windows MMCコンソールを使用して証明書要求を作成する場合に、キーの種類を指定するには、次の手順を実行します。
- Certificate Enrollmentウィザードの[Request Certificates]ステップで、必要な証明書テンプレートの横にあるチェックボックスを選択し、[Properties]をクリックします。
- [Certificate Properties]ウィンドウで、[Private Key]タブをクリックします。
- [Key Type]セクションで、[Exchange]を選択します。
署名された証明書の使用を開始するには、Veeamバックアップサーバー上の証明書ストアからそれを選択する必要があります。詳細については、「証明書ストアからの証明書のインポート」を参照してください。
署名された証明書をVeeam Backup & Replicationで指定すると、次のバックアップジョブセッションの間に、Veeam AgentがVeeamバックアップサーバーから子証明書を受信します。