メインコンテンツまでスキップ

管理対象デバイスへのカスタマイズされたサーバー証明書のデプロイ

カスタマイズされたサーバー証明書を管理対象デバイスにデプロイするには、そのデバイスの CMM と管理コントローラーを使用して、外部署名された証明書バンドルをアップロードおよびインストールします。

始める前に

すべての管理対象デバイスに最新のファームウェアがインストールされていることを確認します (管理対象デバイスでのファームウェアの更新を参照)。

カスタム証明書の証明書署名要求 (CSR) を生成するときに、デバイスを特定する際に使用される IP アドレスまたはホスト名と一致する共通名を選択してください。正しい値を選択しないと、信頼できない接続が発生する可能性があります。

トラステッド CA のエンド・サーバー証明書からルート (ベース) 証明書まで、署名チェーン全体が含まれる証明書バンドルを取得してください。これは、信頼できる完全な証明書チェーンを確認するときに使用できます。

管理対象デバイスが「オフライン」中は、Lenovo XClarity Administrator サーバー証明書を変更しないでください。Lenovo XClarity Administrator を変更する前に接続を修復してください。そうしないと、接続の問題を修復するために追加手順が必要になる場合があります (非トラステッド・サーバー証明書の解決参照)。

このタスクについて

このセクションには、Lenovo XClarity Administrator と管理対象デバイス間の正常な通信を継続して確保するための推奨事項が含まれています。CSR の生成方法および署名済み証明書のインポート方法の詳細な手順については、デバイスの資料を参照してください。

Lenovo XClarity Administrator で 1 つ以上のシャーシ、ラック・サーバー、タワー・サーバーが管理され、デフォルトの Lenovo XClarity Administrator 内部署名済み証明書が Lenovo XClarity Administrator と管理対象デバイスにインストールされている場合は、カスタマイズされたサーバー証明書をデプロイできます。

Lenovo XClarity Administrator でデバイスを管理する前に外部署名済みサーバー証明書がデバイスにインストールされている場合は、追加手順は必要ありません。Lenovo XClarity Administrator 管理下の管理対象デバイスにカスタム・サーバー証明書をデプロイするには、以下のいずれかの手順を実行して管理サーバーと管理対象デバイス間の接続を継続して維持する必要があります。

手順

カスタマイズされた外部署名済みサーバー証明書を、管理対象シャーシまたはサーバーにインポートするには、以下のいずれかのオプションを実行します。

  • Lenovo XClarity Administrator で使用する証明書の署名が管理対象デバイスの証明機関と同じである場合は、管理対象デバイスに証明書をインストールする前にカスタマイズされたサーバー証明書の Lenovo XClarity Administrator へのデプロイ で以下の手順を実行します。同じ CA からの Lenovo XClarity Administrator 証明書チェーンをインストールする場合は、最初に Lenovo XClarity Administrator 信頼ストアに証明書チェーンがあり、デバイスに外部署名済み証明書がインストールされた後に Lenovo XClarity Administrator でそのデバイスが信頼できるようにします。

  • CA 署名チェーンの外部署名済み証明書を Lenovo XClarity Administrator 信頼ストアに追加します。

    CA ルート証明書とすべての中間証明書を、Lenovo XClarity Administrator 信頼ストアに 1 つずつ追加する必要があります。順番は重要ではありません。各証明書のインストールは 1 回のみです。したがって、すべてのデバイスが同じ CA および中間証明書を使用する場合は、その CA および中間証明書を一度に Lenovo XClarity Administrator の信頼ストアにインストールする必要があります。複数の CA または中間 CA を使用する場合、管理対象デバイスの署名チェーンで使用される各固有 CA ルート証明書または中間証明書が、以下の手順でインポートされていることを確認します。

    この手順では、エンド証明書となる非 CA サーバー証明書は追加しないでください。

    バンドルの証明書ごとに、以下の手順を実行します。

    1. Lenovo XClarity Administrator メニュー・バーで、「管理」 > 「セキュリティー」をクリックして、「セキュリティー」ページを表示します。

    2. 左側のナビゲーションで、「証明書の管理」の「トラステッド証明書」をクリックします。

    3. 作成」アイコン (「作成」アイコン) をクリックして、「証明書の追加」ダイアログを表示します。

    4. PEM または DER 形式の証明書ファイルを指定するか、PEM 形式の証明書を貼り付けます。

    5. 作成」をクリックして、証明書を作成します。

    CA 署名チェーンがインストールされると、Lenovo XClarity Administrator は、外部署名されたサーバー証明書がインストールされている、CMM および管理コントローラー上の CIM サーバーへの接続を信頼します。

  • 外部署名済み証明書を管理対象デバイスにインポートします。

    必要な証明書が Lenovo XClarity Administrator 信頼ストア内にない場合、Lenovo XClarity Administrator と管理対象デバイス間の接続が失われます。非トラステッド・サーバー証明書の解決の手順を実行して接続を修復してください。
    重要
    このオプションでは、一時的に接続が失われます。そのため、前記のいずれかのオプションが推奨されます。