メインコンテンツまでスキップ

カスタマイズされたサーバー証明書の Lenovo XClarity Administrator へのデプロイ

所属組織の証明機関またはサード・パーティーの証明機関に署名を要求する証明書署名要求 (CSR) を生成するように選択できます。CSR は、完全な証明書チェーンを作成します。これをインポートし、固有のデフォルトの内部署名済み証明書の代わりに使用できます。

始める前に

証明書の詳細に以下の要件が含まれていることを確認します。

  • キー使用法には以下が含まれている必要があります。

    • キーの承諾

    • デジタル署名

    • キーの暗号化

  • 拡張キー使用法には、以下の情報が含まれている必要があります。

    • サーバー認証 (1.3.6.1.5.5.7.3.1)

    • クライアント認証 (1.3.6.1.5.5.7.3.2)

このタスクについて

重要
NIST SP 800-131Aが有効になっている場合 (NIST SP 800-131A コンプライアンスの実装を参照)、NIST でカスタム証明書または外部署名証明書を使用しているか、または使用する予定の場合、チェーン内のすべての証明書は SHA-256 ハッシュ関数に基づいている必要があります。

サーバー証明書がアップロードされると、XClarity Administrator によってすべての管理対象デバイスに新しい CA 証明書がプロビジョニングされます。プロビジョニング・プロセスが成功した場合、XClarity Administrator は新しいサーバー証明書をすぐに使用し始めます。プロセスが失敗した場合、新しくインポートしたサーバー証明書を適用する前に問題を手動で修正するため、エラー・メッセージが直接お客様に送信されます。エラーが修正されてから、以前にアップロードされた証明書のインストールを実行してください。

XClarity Administrator がすでに同じルート証明機関が署名する証明書を使用している場合、CA をデバイスに送信する必要はなく、XClarity Administrator はすぐに証明書を使用し始めます。

XClarity Administrator v1.1.0 以前にサーバー証明書のアップロードされると、Web サーバーが再起動し、すべてのブラウザー・セッションは自動的に終了します。XClarity Administrator v1.1.1 以降では、既存のセッションを終了せずに新しい証明書を使用し始めます。新規セッションはすべて新しい証明書を使用して確立されます。使用中の新しい証明書を表示するには、Web ブラウザーを再起動します。

手順

Lenovo XClarity Administrator にカスタマイズされた外部署名済みサーバー証明書を生成およびデプロイするには、以下のステップを実行します。

  1. XClarity Administrator の証明書署名要求 (CSR) を生成およびダウンロードします。
    1. XClarity Administrator メニュー・バーで、「管理」 > 「セキュリティー」をクリックして、「セキュリティー」ページを表示します。
    2. 「サーバー証明書」ページを表示するには、「証明書の管理」セクションで「サーバー証明書」をクリックします。
    3. 証明書署名要求 (CSR) の生成」タブをクリックします。
    4. 要求の各フィールドに入力します。

      • 国または地域

      • 都道府県

      • 市区町村または地域

      • 組織

      • 組織単位 (オプション)

      • 共通名

      重要
      XClarity Administrator が管理対象デバイスに接続するときに使用する IP アドレスまたはホスト名と一致する共通名を選択します。正しい値を選択しないと、信頼できない接続が発生する可能性があります。
    5. オプション: CSR の生成時に X.509「subjectAltName」拡張に追加されるサブジェクト代替名 (SAN) をカスタマイズします。

      デフォルトでは、XClarity Administrator のゲスト・オペレーティング・システムのネットワーク・インターフェースによって検出された IP アドレスおよびホスト名に基づいて、XClarity Administrator が CSR のサブジェクト代替名 (SAN) を自動的を定義します。この SAN 値のカスタマイズ、削除、または SAN 値への追加を行うことができます。

      指定する名前は、選択したタイプで有効であることが必要です。

      • directoryName (例: cn=lxca-example,ou=dcg,dc=company,dc=com)

      • dNSName (例: lxca-example.dcg.company.com)

      • ipAddress (例: 192.0.2.0)

      • registeredID (例: 1.2.3.4.55.6.5.99)

      • rfc822Name (例: example@company.com)

      • uniformResourceIdentifier (例: https://lxca-dev.dcg.company.com/example)

      表に示されているすべての SAN は、次の手順で CSR を生成した後でのみ、検証、保存され、CSR に追加されます。
    6. CSR ファイルの生成」をクリックします。サーバー証明書が「証明書署名要求」ダイアログに表示されます。
    7. ファイルに保存」をクリックして、サーバー証明書をホスト・サーバーに保存します。
  2. トラステッド証明機関 (CA) に CSR を送信します。CA は CSR に署名して、サーバー証明書を返送します。
  3. 外部署名済みサーバー証明書を XClarity Administrator にアップロードします。証明書は CA のルート証明書、中間証明書およびサーバー証明書を含むバンドルでなければなりません。
    1. XClarity Administrator メニュー・バーで、管理 > 「セキュリティー」をクリックして、「セキュリティー」ページを表示します。
    2. 「証明書の管理」セクションで「サーバー証明書」をクリックします。
    3. 証明書のアップロード」タブをクリックします。
    4. 証明書のアップロード」をクリックして、「証明書のアップロード」ダイアログを表示します。
    5. PEM、DER または PKCS7 形式の証明書バンドル・ファイルを指定するか、PEM 形式の証明書バンドルを貼り付けます。
    6. アップロード」をクリックしてサーバー証明書をアップロードし、証明書を XClarity Administrator 信頼ストアに保管します。