使用例
- 貴方の企業のネットワークは、暗号化されたトラフィックにのみ対応するファイアウォールまたは DPI(ディープ パケット インスペクション)を含む高度なセキュリティ制度を整えています。その場合、Acronis Connection Verification Tool(接続確認ツール)は接続に成功したことを報告しますが、バックアップには失敗します。チェーンの中で不明な証明書が存在すると、Acronis ストレージはその接続を拒否します。
- MacOS 用の Acronis Connection Verification Tool はまだありません。その代わりに、OpenSSL を使用できます。
- Acronis アカウントとのライセンスの同期に失敗します。
OpenSSL について
OpenSSL は、コマンドや使用シナリオの多い無償のツールです。この記事では、SSL ハンドシェイクを実行できるというその機能に集中し、その際に取得される証明書をお見せします。
32ビットおよび64ビット版の Windows OS 用の OpenSSL は、こちらからダウンロードできます: http://wiki.overbyte.eu/wiki/index.php/ICS_Download#Download_OpenSSL_Binaries_.28required_for_SSL-enabled_components.29
MacOS および Linux では、このツールはデフォルトで有効にされている可能性が高いです。
使用方法
問題が発生するコンピュータで、Openssl.exe が入っているフォルダを開きます(cd "ツールへのパス" を使ってください)。そこで、以下の OpenSSL コマンドを実行します:
openssl s_client -showcerts -connect <アドレス>:<ポート>
上記の <アドレス> は、チェックするアドレスに変えてください。
多くの場合、チェックしなければいけないポートはエラーメッセージに記載されています。たとえば、以下の例では、ポート 8443 をチェックする必要があります:
エラーコード: 307
モジュール: 626
行情報: 0x50e61e3e2e723ba3
フィールド: {"$file":"d:\\1737\\core\
network\\astorage\\reg_server\\lib\\ssl_connection.cpp","address":"rs-ca01-cloud.acronis.com","$module":"isk_bundle_vsa64_26986","$line":"158","port":"8443","$func":"AStorage::RegServer::SslConnection::Execute"}
メッセージ: Could not perform SSL_write() call:
ネットワークのトレースを行うユーティリティ(Wireshark など)を使用する場合、接続エラーが表示されるポートをチェックしてください。
使用方法の例:
ストレージへの接続をチェックする場合は、必要なポート番号は 44445 になります。
例えば: openssl s_client -showcerts -connect baas-fes-eu.acronis.com:44445 -cert C:\ProgramData\Acronis\BackupAndRecovery\OnlineBackup\Default\cert.crt
なお、上記のコマンドにおける証明書へのパス(-cert に続くパス)は、エージェントの Cloud 証明書が保存されているロケーションへのパスにする必要があります。
(ストレージへの接続に問題が発生する場合は、必ず -cert に有効なパスを指定してください。有効な接続試行を再現するためです。)
管理コンポーネントへの接続をチェックする場合は、必要なポート番号は 443 および 8443 になります。
たとえば: openssl s_client -showcerts -connect eu-cloud.acronis.com:8443
openssl s_client -showcerts -connect eu-cloud.acronis.com:443
以下の例のように、追加で出力をファイルに書き込むことができます:
openssl s_client -showcerts -connect baas-fes-eu.acronis.com:44445 -cert C:\ProgramData\Acronis\BackupAndRecovery\OnlineBackup\Default\cert.crt > output3.txt
これで接続に失敗する場合は、対象のポートは完全にクローズされており、開く必要があるということです。
接続が確立した場合は、証明書のチェーンが返されます:
openssl.exe s_client -showcerts -connect us-cloud.acronis.com:443 CONNECTED(00000168) depth=2 C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", CN = Go Daddy Root Certificate Authority - G2 verify error:num=19:self signed certificate in certificate chain --- Certificate chain 0 s:OU = Domain Control Validated, CN = *.acronis.com i:C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2 -----BEGIN CERTIFICATE----- MIIFLTCCBBWgAwIBAgIJAPghs/Ty/UwVMA0GCSqGSIb3DQEBCwUAMIG0MQswCQYD <.....> KYMFvd0OVQYeSFNQAlbLExryqZkWcHZlyjy3ypeO4Ojx -----END CERTIFICATE----- 1 s:C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", CN = Go Daddy Root Certificate Authority - G2 i:C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", CN = Go Daddy Root Certificate Authority - G2 -----BEGIN CERTIFICATE----- MIIDxTCCAq2gAwIBAgIBADANBgkqhkiG9w0BAQsFADCBgzELMAkGA1UEBhMCVVMx <.....> 4uJEvlz36hz1 -----END CERTIFICATE----- 2 s:C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2 i:C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", CN = Go Daddy Root Certificate Authority - G2 <.....> ---
これは、接続の確立に成功したことを意味します。以下の部分で確認できます:
Certificate chain
0 s:OU = Domain Control Validated, CN = *.acronis.com
i:C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2
無効な証明書の例:
Certificate chain
0 s:C = "CH ", L = Schaffhausen, O = Acronis, OU = AcronisStorage, CN = Front End Server i:C = US, ST = California, L = Sunnyvale, O = Fortinet, OU = Certificate Authority, CN = FG100E4Q17024322, emailAddress = support@fortinet.com -----BEGIN CERTIFICATE----- --- Server certificate subject=C = "CH ", L = Schaffhausen, O = Acronis, OU = AcronisStorage, CN = Front End Server issuer=C = US, ST = California, L = Sunnyvale, O = Fortinet, OU = Certificate Authority, CN = FG100E4Q17024322, emailAddress = support@fortinet.com
この例では、証明書は Fortinet によって発行されており、ストレージサーバーによって拒否されます。
何らかの理由で中間者原理(MITM)に応じて別の証明書が挿入されている場合は、このチェーンで表示されます。その場合は、ご使用のソフトウェアのホワイトリストに Acronis Cyber Backup Cloud のプロセス、あるいはポート、ホスト名およびアドレスを追加する必要があります。