メインコンテンツまでスキップ

Lenovo XClarity Administrator の自己署名サーバー証明書の再生成または復元

新しい証明機関またはサーバー証明書を生成して、現在の自己署名証明書を置き換えるか、現在 XClarity Administrator でカスタマイズされた外部署名済みサーバー証明書を使用している場合は Lenovo XClarity Administrator で生成された証明書を復元できます。新しい自己署名サーバー証明書は、XClarity Administrator で認証サーバー、HTTPS サーバー、CIM サーバーによって使用されます。また、すべての管理対象デバイスに自動的にプロビジョニングされます。

始める前に

XClarity Administrator 証明書を再生成またはアップロードすると、XClarity Administrator が再起動します。

新しい CA 証明書が生成されると、自動的にすべての管理対象シャーシ、ラック・サーバー、およびタワー・サーバーの各 CMM およびベースボード管理コントローラーにある信頼ストアにデプロイされ、トラステッド認証サーバーの接続は維持されます。CA ルート証明書のデプロイ中にエラーが発生した場合は、新しいサーバー証明書を生成する前に、証明機関ページから証明書をダウンロードして、正常にプロビジョニングされなかったすべての管理対象デバイスの信頼ストアに手動でインポートします。

CA 証明書を再生成する場合は、CA を再生成する時間を予約してプロビジョニングのエラーを解決し、すぐにサーバー証明書を再生成します。

新しい CA ルート証明書を生成すると、サーバー証明書が再生成されて署名されるまで、通信エラーが発生したり、デバイスにログインできなくなったりする場合があります。

重要
XClarity Administrator v1.1.1 以降の場合は、CA ルート証明書を各 CMM および管理コントローラーの信頼ストアにインポートする必要があります。CA ルート証明書のインポートについて詳しくは、CMM および管理コントローラーのドキュメントを参照してください。
重要
SAML が有効になった後でルート証明書が再生成された場合は、XClarity Administrator ローカル・アカウントでログインし、SAML を再構成してください。

手順

自己署名サーバー証明書を XClarity Administrator で復元するには、以下の手順を実行します。

XClarity Administrator で現在使用されているサーバー証明書は、自己署名であるか外部署名であるかにかかわらず、新しいサーバー証明書が再生成されて署名されるまで使用されます。

  1. オプション: 新しい CA ルート証明書を生成します。
    1. XClarity Administrator メニュー・バーで、管理 > 「セキュリティー」をクリックして、「セキュリティー」ページを表示します。
    2. 「証明書の管理」セクションで「証明機関」をクリックします。
    3. 証明機関ルート証明書の再生成」をクリックします。

    CA の鍵および証明書が正常に生成されると、その証明書を LDAP トラステッド証明書としてすべての CMM および管理コントローラー (コンバージド、NeXtScale、および System x サーバー) にプロビジョニングするジョブのステータスを示すダイアログが表示されます。このダイアログおよびジョブ監視ページに、これらのプロビジョニング・ジョブそれぞれの成功または失敗が表示されます。

    プロビジョニング・ジョブが失敗した場合は、以下の手順を実行して CA ルート証明書をダウンロードし、ジョブが失敗したデバイスにトラステッド LDAP 証明書として手動でインポートします。

  2. オプション: ホスト・システムに CA ルート証明書をダウンロードして Web ブラウザーにインポートします。
    1. XClarity Administrator メニュー・バーで、管理 > 「セキュリティー」をクリックして、「セキュリティー」ページを表示します。
    2. 「証明書の管理」セクションで「証明機関」をクリックします。
    3. 証明機関ルート証明書のダウンロード」をクリックします。現在の CA ルート証明書が「証明機関ルート証明書」ダイアログに表示されます。
    4. ファイルに保存」をクリックして、CA ルート証明書をホスト・システムに保存します。
    5. ご使用の Web ブラウザーまたは XClarity Administrator にアクセスする他のユーザーの Web ブラウザーの指示に従って、証明書をトラステッド・ルート証明機関としてインポートします。
  3. 新しいサーバー証明書を再生成し、新しい CA ルート証明書を使用してその証明書に署名します。
    1. 「セキュリティー」ページの「証明書の管理」セクションで、「サーバー証明書」をクリックします。
    2. サーバー証明書の再生成」タブをクリックします。
    3. 「サーバー証明書の再生成」ページの各フィールドに入力します。
      • 国または地域
      • 都道府県
      • 市区町村または地域
      • 組織
      • 組織編成
      • 共通名
      • 有効期間の開始日
      • 有効期間の開始時刻
      • 有効期間の終了日
      • 有効期間の終了時刻
    4. 証明書の再生成」をクリックします。
    5. 管理対象 CMM および管理コントローラー (コンバージド、NeXtScale、ThinkSystem、および System x サーバーの場合) で自己署名証明書を再生成する場合、各デバイスで証明書を再生成した後、新しいデバイス証明書を XClarity Administrator 信頼ストアにインポートします (非トラステッド・サーバー証明書の解決を参照)。または、デバイスから手動で証明書をダウンロードし、「トラステッド証明書」ページで XClarity Administrator にインポートできます。

    XClarity Administrator v1.1.0 以前の場合は、証明書を再生成した後、Web サーバーが再起動し、すべてのブラウザー・セッションが自動的に終了します。XClarity Administrator v1.1.1 以降の場合は、既存のセッションを終了することなく、XClarity Administrator で新しい証明書の使用が始まります。新規セッションは新しい証明書を使用して確立されます。使用中の新しい証明書を表示するには、Web ブラウザーを再起動します。

  4. 管理対象 CMM および管理コントローラー (コンバージド、NeXtScale、ThinkSystem、および System x サーバーの場合) で自己署名証明書を再生成する場合、各デバイスで証明書を再生成した後、新しいデバイス証明書を XClarity Administrator 信頼ストアにインポートします (非トラステッド・サーバー証明書の解決を参照)。または、デバイスから手動で証明書をダウンロードし、「トラステッド証明書」ページで XClarity Administrator にインポートできます。