メインコンテンツまでスキップ

セキュリティー証明書の使用

Lenovo XClarity Administrator は SSL 証明書を使用して、XClarity Administrator とその管理対象デバイス (System x サーバーのシャーシやサービス・プロセッサーなど) との間で信頼できる安全な通信を確立するだけでなく、ユーザーや他のサービスXClarity Administrator の通信も同様に確立します。デフォルトでは、XClarity Administrator、CMM、およびベースボード管理コントローラーは、内部証明機関で発行された自己署名 XClarity Administrator 生成証明書を使用します。

始める前に

このセクションは、SSL 標準と SSL 証明書の基本的な知識を持つ管理者を対象としており、その説明と管理方法が含まれています。公開鍵と証明書に関する一般情報については、Wikipedia の X.509 の Web ページInternet X.509 Public Key Infrastructure Certificate および Certificate Revocation List (CRL) Profile (RFC5280) Web ページ を参照してください。

このタスクについて

XClarity Administrator の各インスタンスに固有で生成されるデフォルトの自己署名サーバー証明書によって、多くの環境で十分なセキュリティーが提供されます。また、XClarity Administrator で証明書を管理できるほか、サーバー証明書をカスタマイズしたり置き換えたりすることもできます。XClarity Administrator には、環境に合わせて証明書をカスタマイズするオプションが用意されています。たとえば、以下のオプションがあります。
  • 組織に固有の値を使用する内部証明機関やエンド・サーバーの証明書を再生成して、新しいキーのペアを生成できます。
  • 選択した証明機関に送信できる証明書署名要求 (CSR) を生成してカスタムの証明書に署名し、それを XClarity Administrator にアップロードしてホストしているすべてのサービスでエンド・サーバー証明書として使用できます。
  • サーバー証明書をローカル・システムにダウンロードして、その証明書を Web ブラウザーの信頼できる証明書のリストにインポートできます。

XClarity Administrator は、送信されてくる SSL/TLS 接続を受け入れるいくつかのサービスを提供します。管理対象デバイスや Web ブラウザーなどのクライアントがこれらのサービスのいずれかに接続する場合、XClarity Administrator はそのサーバー証明書を接続してきたクライアントに提示して識別させます。クライアントは、トラステッド証明書のリストを維持する必要があります。XClarity Administrator のサーバー証明書がクライアントのリストに含まれていない場合、機密性の高い情報を信頼できないソースとやりとりすることを避けるために、クライアントは XClarity Administrator から切断されます。

XClarity Administrator は、管理対象デバイスおよび外部サービスと通信する場合はクライアントとして機能します。XClarity Administrator がデバイスや外部サービスに接続する場合、デバイスや外部サービスはそのサーバー証明書を XClarity Administrator に提示して識別させます。XClarity Administrator は信頼できる証明書のリストを保持します。管理対象デバイスまたは外部サービスが提供するトラステッド証明書がリストに含まれていない場合、機密性の高い情報を信頼できないソースとやりとりすることを避けるために、XClarity Administrator は管理対象デバイスまたは外部サービスから切断されます。

以下のカテゴリーの証明書は、XClarity Administrator のサービスによって使用され、接続しているクライアントによって信頼されるものです。

  • サーバー証明書。初期ブート時に、固有のキーと自己署名証明書が生成されます。これらはデフォルトのルート証明機関として使用され、XClarity Administrator のセキュリティー設定の「証明機関」ページで管理できます。キーが漏えいした場合や、組織にすべての証明書を定期的に交換しなければならないというポリシーがある場合を除いて、このルート証明書を再生成する必要はありません (Lenovo XClarity Administrator の自己署名サーバー証明書の再生成または復元 を参照)。

    また、初期セットアップ中に別のキーが生成され、内部の証明機関によって署名された別のサーバー証明書が作成されます。この証明書は、デフォルトのXClarity Administrator サーバー証明書として使用されます。これは、XClarity Administrator でネットワーク・アドレス (IP または DNS アドレス) の変更が検出されるたびに再生成され、証明書にサーバーの正しいアドレスが含まれるようになります。この証明書はカスタマイズでき、オンデマンドで生成できます (Lenovo XClarity Administrator の自己署名サーバー証明書の再生成または復元参照)。

    デフォルトの自己署名サーバー証明書の代わりに外部署名済みサーバー証明書を使用することもできます。これには、証明書署名要求 (CSR) を生成し、プライベートまたは商用の証明書のルート証明機関によって CSR に署名して、すべての証明書チェーンを XClarity Administrator にインポートします (カスタマイズされたサーバー証明書の Lenovo XClarity Administrator へのデプロイ を参照)。

    デフォルトの自己署名サーバー証明書を使用する場合は、Web ブラウザーに証明書のエラー・メッセージが表示されないようにするために、信頼できるルート証明機関としてサーバー証明書を Web ブラウザーにインポートすることをお勧めします (Web ブラウザーへの証明機関証明書のインポート を参照)。

  • OS デプロイ証明書。オペレーティング・システム・デプロイメント・サービスでは、別の証明書が使用されます。これは、オペレーティング・システムのインストーラーがオペレーティング・システムのインストール・プロセス中にデプロイメント・サービスに確実に接続するためのものです。キーが暗号漏えいした場合は、管理サーバーを再起動することで再生成できます。

以下のカテゴリー (信頼ストア) の証明書は、XClarity Administrator クライアントによって使用されます。

  • トラステッド証明書

    この信頼ストアは、XClarity Administrator がクライアントとして機能する場合に、ローカルのリソースへの安全な接続を確立するために使用する証明書を管理します。ローカルのリソースの例には、管理対象デバイス、イベント転送時のローカルのソフトウェア、外部 LDAP サーバーなどがあります。

  • 外部サービス証明書。この信頼ストアは、XClarity Administrator がクライアントとして機能する場合に、外部サービスへの安全な接続を確立するために使用する証明書を管理します。外部サービスの例には、保証情報の取得やサービス・チケットの作成に使用するオンラインの Lenovo サポートのサービス、イベントを転送できる外部ソフトウェア (Splunk など)、iOS デバイスや Android デバイスで Lenovo XClarity Mobile のプッシュ通知を有効にしている場合の Apple や Google のプッシュ通知サーバーなどがあります。これには、一般によく知られている信頼できる特定の証明機関プロバイダー (Digicert や Globalsign など) のルート証明機関の事前に設定されたトラステッド証明書が含まれます。

    別の外部サービスへの接続を必要とする機能を使用するように XClarity Administrator を設定する場合は、資料を参照して、この信頼ストアに手動で証明書を追加する必要があるかどうかを確認してください。

    なお、この信頼ストアの証明書は、メインのトラステッド証明書信頼ストアにも追加しない限り、他のサービス (LDAP など) との接続を確立する場合に信頼されません。この信頼ストアから証明書を削除すると、これらのサービスが正常に機能しなくなります。

XClarity Administrator は、RSA-3072/SHA-384、RSA-2048/SHA-256、ECDSA p256/SHA-256 証明書の署名をサポートします。SHA-1 ストロングや SHA ハッシュなどのアルゴリズムは、構成によってはサポートされる場合もあります。XClarity Administrator で選択されている暗号モード (「管理サーバーでの暗号化設定の構成」を参照)、管理対象サーバーで選択されているセキュリティ設定 (管理対象サーバーのセキュリティー設定の構成)、および環境内のその他のソフトウェアとデバイスの機能を検討してください。すべての楕円曲線ではなく一部の楕円曲線 (p256 含む) に基づいた ECDSA 証明書は、「トラステッド証明書」ページおよび XClarity Administrator 証明書の署名チェーンでサポートされていますが、XClarity Administrator サーバー証明書での使用は現在サポートされていません
XClarity Administrator は、Strict モードでは、XCC2 を含むサーバー に RSA- 3072/SHA-384 証明書の署名を使用します。
  • カスタマイズされた外部署名済みサーバー証明書のインストール
    プライベートまたは商用証明機関 (CA) によって署名されたサーバー証明書を使用できます。
  • Lenovo XClarity Administrator の自己署名サーバー証明書の再生成または復元
    新しい証明機関またはサーバー証明書を生成して、現在の自己署名証明書を置き換えるか、現在 XClarity Administrator でカスタマイズされた外部署名済みサーバー証明書を使用している場合は Lenovo XClarity Administrator で生成された証明書を復元できます。新しい自己署名サーバー証明書は、XClarity Administrator で認証サーバー、HTTPS サーバー、CIM サーバーによって使用されます。また、すべての管理対象デバイスに自動的にプロビジョニングされます。
  • 非トラステッド・サーバー証明書の解決
    管理対象デバイスへのセキュアな接続を確立するために使用されるサーバー証明書は、信頼できなくなる場合があります。Lenovo XClarity Administrator 信頼ストアのデバイス CA ルート証明書またはデバイス自己証明証明書が下位レベル・バージョンであることが問題の原因の場合、XClarity Administrator は、非トラステッド・サーバー証明書を解決できます。
  • サーバー証明書のダウンロード
    ローカル・システムに現在のサーバーの証明書のコピーを、PEM/DER形式でダウンロードできます。Web ブラウザーまたは別のアプリケーションに証明書をインポートできます ( Lenovo XClarity MobileLenovo XClarity Integratorなど)。
  • Web ブラウザーへの証明機関証明書のインポート
    Lenovo XClarity Administrator にアクセスするときに、Web ブラウザーにセキュリティーの警告が表示されないようにするために、現在の証明機関 (CA) 証明書のコピーを PEM 形式または DER 形式でローカル・システムにダウンロードして、そのサーバー証明書を Web ブラウザーのトラステッド証明書のリストにインポートできます。
  • 証明書取り消しリストの追加と置き換え
    証明書取り消しリストは、取り消された証明書と信頼されなくなった証明書のリストです。証明書が取り消されることがあるのは、その証明書が CA から間違って発行された場合や、証明書のキーの暗号漏えい、紛失、盗難が起こった場合です。