メインコンテンツまでスキップ

セキュリティー証明書の使用

Lenovo XClarity Orchestrator は SSL 証明書を使用して、XClarity Orchestrator と管理対象リソース・マネージャー (Lenovo XClarity Administrator または Schneider Electric EcoStruxure IT Expertなど) との間で信頼できるセキュアな通信を確立するだけでなく、XClarity Orchestrator ユーザーまたはさまざまなサービスとの通信も確立します。デフォルトでは、XClarity Orchestrator および Lenovo XClarity Administrator は、で発行された自己署名 XClarity Orchestrator 生成証明書を使用します。

始める前に

このセクションは、SSL 標準と SSL 証明書の基本的な知識を持つ管理者を対象としており、その説明と管理方法が含まれています。公開鍵と証明書に関する一般情報については、Wikipedia の X.509 の Web ページInternet X.509 Public Key Infrastructure Certificate および Certificate Revocation List (CRL) Profile (RFC5280) Web ページ を参照してください。

このタスクについて

XClarity Orchestrator の各インスタンス固有で生成されるデフォルトのサーバー証明書によって、多くの環境で十分なセキュリティーが提供されます。また、XClarity Orchestrator で証明書を管理できるほか、サーバー証明書をカスタマイズしたり置き換えたりすることもできます。XClarity Orchestrator には、環境に合わせて証明書をカスタマイズするオプションが用意されています。たとえば、以下のオプションがあります。
  • 組織に固有の値を使用する内部証明機関やエンド・サーバーの証明書を再生成して、新しいキーのペアを生成できます。
  • 選択した証明機関に送信できる証明書署名要求 (CSR) を生成してカスタムの証明書に署名し、それを XClarity Orchestrator にアップロードしてホストしているすべてのサービスでエンド・サーバー証明書として使用できます。
  • サーバー証明書をローカル・システムにダウンロードして、その証明書を Web ブラウザーの信頼できる証明書のリストにインポートできます。

XClarity Orchestrator は、送信されてくる SSL/TLS 接続を受け入れるいくつかのサービスを提供します。Web ブラウザーなどのクライアントがこれらのサービスのいずれかに接続する場合、XClarity Orchestrator はそのサーバー証明書を接続してきたクライアントに提示して識別させます。クライアントは、トラステッド証明書のリストを維持する必要があります。XClarity Orchestrator のサーバー証明書がクライアントのリストに含まれていない場合、機密性の高い情報を信頼できないソースとやりとりすることを避けるために、クライアントは XClarity Orchestrator から切断されます。

XClarity Orchestrator は、リソース・マネージャーおよび外部サービスと通信する場合はクライアントとして機能します。これが発生すると、リソース・マネージャーまたは外部サービスは、XClarity Orchestrator が検証するサーバー証明書を提供します。XClarity Orchestrator によってトラステッド証明書のリストが維持されます。リソース・マネージャーまたは外部サービスが提供するトラステッド証明書がリストに含まれていない場合、機密性の高い情報を信頼できないソースとやりとりすることを避けるために、XClarity Orchestrator は管理対象デバイスまたは外部サービスから切断されます。

以下のカテゴリーの証明書は、XClarity Orchestrator のサービスによって使用され、接続しているクライアントによって信頼されるものです。
  • サーバー証明書。初期ブート時に、固有のキーと自己署名証明書が生成されます。これらはデフォルトのルート証明機関として使用され、XClarity Orchestrator のセキュリティー設定の「証明機関」ページで管理できます。キーが漏えいした場合や、組織にすべての証明書を定期的に交換しなければならないというポリシーがある場合を除いて、このルート証明書を再生成する必要はありません (XClarity Orchestrator 内部署名済みサーバー証明書の再生成 を参照)。

    また、初期セットアップ中に別の鍵が生成され、内部証明機関によって署名されたサーバー証明書が作成されます。この証明書は、デフォルトのXClarity Orchestrator サーバー証明書として使用されます。これは、XClarity Orchestrator でネットワーク・アドレス (IP または DNS アドレス) の変更が検出されるたびに再生成され、証明書にサーバーの正しいアドレスが含まれるようになります。この証明書はカスタマイズでき、オンデマンドで生成できます (XClarity Orchestrator 内部署名済みサーバー証明書の再生成参照)。

    デフォルトの自己署名サーバー証明書の代わりに外部署名済みサーバー証明書を使用することもできます。これには、証明書署名要求 (CSR) を生成し、プライベートまたは商用の証明書のルート証明機関によって CSR に署名して、すべての証明書チェーンを XClarity Orchestrator にインポートします (信頼できる外部署名済み XClarity Orchestrator サーバー証明書のインストール を参照)。

    デフォルトの自己署名サーバー証明書を使用する場合は、Web ブラウザーに証明書のエラー・メッセージが表示されないようにするために、信頼できるルート証明機関としてサーバー証明書を Web ブラウザーにインポートすることをお勧めします (Web ブラウザーへのサーバー証明書のインポート を参照)。

以下のカテゴリー (信頼ストア) の証明書は、XClarity Orchestrator クライアントによって使用されます。
  • 信頼できる証明書

    この信頼ストアは、XClarity Orchestrator がクライアントとして機能する場合に、ローカルのリソースへの安全な接続を確立するために使用する証明書を管理します。ローカルのリソースの例には、管理対象リソース・マネージャー、イベント転送時のローカルのソフトウェアなどがあります。

  • 外部サービス証明書。この信頼ストアは、XClarity Orchestrator がクライアントとして機能する場合に、外部サービスへの安全な接続を確立するために使用する証明書を管理します。外部サービスの例として、保証情報の取得またはサービス・チケットの作成に使用されるオンライン Lenovo Support サービス、イベントの転送先の外部ソフトウェア (Splunk など) があります。これには、一般によく知られている信頼できる特定の証明機関プロバイダー (Digicert や Globalsign など) のルート証明機関の事前に設定されたトラステッド証明書が含まれます。

    別の外部サービスへの接続を必要とする機能を使用するように XClarity Orchestrator を設定する場合は、資料を参照して、この信頼ストアに手動で証明書を追加する必要があるかどうかを確認してください。

    なお、この信頼ストアの証明書は、メインのトラステッド証明書信頼ストアにも追加しない限り、他のサービス (LDAP など) との接続を確立する場合に信頼されません。この信頼ストアから証明書を削除すると、これらのサービスが正常に機能しなくなります。

  • 外部サービス用トラステッド証明書の追加
    これらの証明書は、外部サービスとの信頼関係を確立するために使用されます。たとえば、この信頼ストア内の証明書は、Lenovo から保証情報の取得、チケットの作成、外部アプリケーション (Splunk など) へのイベントの転送、および外部 LDAP サーバーの使用などを行う場合に使用されます。
  • 内部サービス用トラステッド証明書の追加
    この証明書は、リソース・マネージャー、ローカル・ソフトウェアへのイベント転送、組み込み LDAP サーバーなどのリソースに対するクライアントとして Lenovo XClarity Orchestrator が機能する場合に、ローカル・リソースとの信頼関係を確立するために使用されます。さらに、 内部 CA 証明書やカスタマイズされた外部署名済みサーバー証明書の CA 証明書 (インストールされている場合) もこの信頼ストアに存在し、 内部の XClarity Orchestrator 通信をサポートします。
  • 信頼できる外部署名済み XClarity Orchestrator サーバー証明書のインストール
    プライベートまたは商用証明機関 (CA) によって署名された信頼できるサーバー証明書を使用できます。外部署名済みサーバー証明書を使用するには、証明書署名要求 (CSR) を生成し、そのサーバー証明書をインポートして、既存のサーバー証明書と置き換えます。
  • XClarity Orchestrator 内部署名済みサーバー証明書の再生成
    新しい証明機関またはサーバー証明書を生成して、現在の内部署名済み Lenovo XClarity Orchestrator サーバー証明書を置き換えるか、現在 XClarity Orchestrator がカスタマイズされた外部署名済みサーバー証明書を使用している場合は、XClarity Orchestrator が生成した証明書を復元できます。この新しい内部署名されたサーバー証明書は、XClarity Orchestrator によって HTTPS アクセスに使用されます。
  • Web ブラウザーへのサーバー証明書のインポート
    ローカル・システムに現在のサーバーの証明書のコピーを、PEM 形式で保存できます。次に、Lenovo XClarity Orchestrator にアクセスしたときに Web ブラウザーにセキュリティー警告メッセージが表示されないようにするために、Web ブラウザーのトラステッド証明書のリストまたは他のアプリケーション (Lenovo XClarity MobileLenovo XClarity Integrator など) に証明書をインポートできます。