メインコンテンツまでスキップ

カスタマイズされたサーバー証明書の Lenovo XClarity Administrator へのデプロイ

所属組織の証明機関またはサード・パーティーの証明機関に署名を要求する証明書署名要求 (CSR) を生成するように選択できます。CSR は、完全な証明書チェーンを作成します。これをインポートし、固有のデフォルトの内部署名済み証明書の代わりに使用できます。

始める前に

証明書の詳細に以下の要件が含まれていることを確認します。

  • キー使用法には以下が含まれている必要があります。

    • キーの承諾

    • デジタル署名

    • キーの暗号化

  • 拡張キー使用法には、以下の情報が含まれている必要があります。

    • サーバー認証 (1.3.6.1.5.5.7.3.1)

    • クライアント認証 (1.3.6.1.5.5.7.3.2)

このタスクについて

重要
NIST SP 800-131Aが有効になっている場合 (NIST SP 800-131A コンプライアンスの実装を参照)、NIST でカスタム証明書または外部署名証明書を使用しているか、または使用する予定の場合、チェーン内のすべての証明書は SHA-256 ハッシュ関数に基づいている必要があります。

サーバー証明書がアップロードされると、XClarity Administrator によってすべての管理対象デバイスに新しい CA 証明書がプロビジョニングされます。プロビジョニング・プロセスが成功した場合、XClarity Administrator は新しいサーバー証明書をすぐに使用し始めます。プロセスが失敗した場合、新しくインポートしたサーバー証明書を適用する前に問題を手動で修正するため、エラー・メッセージが直接お客様に送信されます。エラーが修正されてから、以前にアップロードされた証明書のインストールを実行してください。

XClarity Administrator がすでに同じルート証明機関が署名する証明書を使用している場合、CA をデバイスに送信する必要はなく、XClarity Administrator はすぐに証明書を使用し始めます。

XClarity Administrator v3.6 以前に証明書をアップロードした後で、既存のセッションを終了せずに新しい証明書を使用して新しいセッションが確立されます。現在のセッションで新しい証明書を表示するには、Web ブラウザーを再起動します。

XClarity Administrator v4.0 以降では、Web サーバーが再起動し、すべてのブラウザー・セッションが自動的に終了します。XClarity Administrator で作業を続行するには、再度ログインする必要があります。

手順

Lenovo XClarity Administrator にカスタマイズされた外部署名済みサーバー証明書を生成およびデプロイするには、以下のステップを実行します。

  1. XClarity Administrator の証明書署名要求 (CSR) を生成およびダウンロードします。
    1. XClarity Administrator メニュー・バーで、「管理」 > 「セキュリティー」をクリックして、「セキュリティー」ページを表示します。
    2. 「サーバー証明書」ページを表示するには、「証明書の管理」セクションで「サーバー証明書」をクリックします。
    3. 証明書署名要求 (CSR) の生成」タブをクリックします。
    4. 要求の各フィールドに入力します。

      • 国または地域

      • 都道府県

      • 市区町村または地域

      • 組織

      • 組織単位 (オプション)

      • 共通名

      重要
      XClarity Administrator が管理対象デバイスに接続するときに使用する IP アドレスまたはホスト名と一致する共通名を選択します。正しい値を選択しないと、信頼できない接続が発生する可能性があります。
    5. オプション: CSR の生成時に X.509subjectAltName拡張のサブジェクト代替名をカスタマイズ、追加、および削除します。表に示されているすべてのサブジェクト代替名は、次の手順で CSR を生成した後でのみ、検証、保存され、CSR に追加されます。

      デフォルトでは、XClarity Administrator のゲスト・オペレーティング・システムのネットワーク・インターフェースによって検出された IP アドレスおよびホスト名に基づいて、XClarity Administrator が CSR のサブジェクト代替名を自動的に定義します。

      重要
      サブジェクト代替名は、管理サーバーの完全修飾ドメイン名 (FQDN) または IP アドレスを含んでいる必要があり、サブジェクト名を管理サーバーの FQDN に設定する必要があります。CSR プロセスを開始する前に、これらの必須フィールドが存在し、正しいことを確認し、作成された証明書が完了していることを確認します。証明書データが欠落していると、XClarity Administrator インスタンスを Lenovo XClarity Orchestrator に接続しようとするときに、信頼できない接続が発生する可能性があります。

      指定する名前は、選択したタイプに対して有効である必要があります。

      • directoryName (例: cn=lxca-example,ou=dcg,dc=company,dc=com)

      • dNSName (例: lxca-example.dcg.company.com)

      • ipAddress (例: 192.0.2.0)

      • registeredID (例: 1.2.3.4.55.6.5.99)

      • rfc822Name (例: example@company.com)

      • uniformResourceIdentifier (例: https://lxca-dev.dcg.company.com/example)

      表に示されているすべての SAN は、次の手順で CSR を生成した後でのみ、検証、保存され、CSR に追加されます。
    6. CSR ファイルの生成」をクリックします。サーバー証明書が「証明書署名要求」ダイアログに表示されます。
      重要

      • 新しく生成された証明書に、サブジェクト代替名の一部として FQDN および IP アドレスが含まれていることを確認します。

      • この XClarity Administrator インスタンスが XClarity Orchestrator によって管理されている場合、CSR に基づいて生成された証明書が、サーバー証明書クライアント証明書の両方として使用するように構成されていることを確認します。

    7. ファイルに保存」をクリックして、サーバー証明書をホスト・サーバーに保存します。
  2. トラステッド証明機関 (CA) に CSR を送信します。CA は CSR に署名して、サーバー証明書を返送します。
  3. 外部署名済みサーバー証明書を XClarity Administrator にアップロードします。証明書は CA のルート証明書、中間証明書およびサーバー証明書を含むバンドルでなければなりません。
    1. XClarity Administrator メニュー・バーで、管理 > 「セキュリティー」をクリックして、「セキュリティー」ページを表示します。
    2. 「証明書の管理」セクションで「サーバー証明書」をクリックします。
    3. 証明書のアップロード」タブをクリックします。
    4. 証明書のアップロード」をクリックして、「証明書のアップロード」ダイアログを表示します。
    5. PEM、DER または PKCS7 形式の証明書バンドル・ファイルを指定するか、PEM 形式の証明書バンドルを貼り付けます。
    6. アップロード」をクリックしてサーバー証明書をアップロードし、証明書を XClarity Administrator 信頼ストアに保管します。