信頼できる外部署名済み XClarity Orchestrator サーバー証明書のインストール
プライベートまたは商用証明機関 (CA) によって署名された信頼できるサーバー証明書を使用できます。外部署名済みサーバー証明書を使用するには、証明書署名要求 (CSR) を生成し、そのサーバー証明書をインポートして、既存のサーバー証明書と置き換えます。
このタスクについて
ベスト・プラクティスとして、常に v3 署名済み証明書を使用してください。
外部署名済みサーバー証明書は、「CSR ファイルの生成」ボタンを使用して最後に生成された証明書署名要求から作成する必要があります。
外部署名済みサーバー証明書コンテンツは、CA のルート証明書、中間証明書、およびサーバー証明書を含む CA 署名チェーン全体を含む証明書バンドルであることが必要です。
新しいサーバー証明書が信頼できる第三者によって署名されていない場合は、次に XClarity Orchestrator に接続したときに Web ブラウザーにセキュリティー・メッセージが表示されて、新しい証明書を承認するかどうかをたずねられます。このセキュリティー・メッセージが表示されないようにするには、サーバー証明書をダウンロードして、Web ブラウザーのトラステッド証明書のリストにインポートします (Web ブラウザーへのサーバー証明書のインポート を参照)。
XClarity Orchestratorは、現行セッションを終了することなく、新しいサーバー証明書の使用を開始します。新規セッションは新しい証明書を使用して確立されます。使用中の新しい証明書を使用するには、Web ブラウザーを再起動します。
手順
外部署名済みサーバー証明書をインストールするには、以下の手順を実行します。
- 証明書署名要求を作成し、該当ファイルをローカル・システムに保存します。
- XClarity Orchestrator のメニュー・バーから「管理」(
) > 「セキュリティー」の順にクリックし、左側のナビゲーションで「サーバー証明書」をクリックして、「証明書署名要求の生成」カードを表示します。
- 「証明書署名要求 (CSR) の生成」カードから、要求のためのフィールドに入力します。
- 証明機関に関連付けられた発行国または発行地域の 2 文字の ISO 3166 コード (米国の場合は US)。
- 証明書に関連付けられた州または都道府県のフルネーム (California、New Brunswick など)。
- 証明書に関連付けられた都市のフルネーム (San Jose など)。この値は、50 文字を超えてはなりません。
- 証明書を所有する組織 (会社)。通常、これは正式な会社名です。Ltd.、Inc.、Corp など、サフィックスを含める必要があります (ACME International Ltd. など)。この値は、60 文字を超えてはなりません。
- (オプション) 証明書を所有する組織単位 (ABC Division など)。この値は、60 文字を超えてはなりません。
- 証明書の所有者の共通名。これは、証明書を使用しているサーバーのホスト名である必要があります。この値は、63 文字を超えてはなりません。
- オプション: CSR の生成時に X.509 「subjectAltName」拡張に追加されるサブジェクト代替名。
デフォルトでは、XClarity Orchestrator のゲスト・オペレーティング・システムのネットワーク・インターフェースによって検出された IP アドレスおよびホスト名に基づいて、XClarity Orchestrator が CSR のサブジェクト代替名を自動的を定義します。このサブジェクト代替名値のカスタマイズ、削除、またはサブジェクト代替名値への追加を行うことができます。ただし、サブジェクト代替名はサーバーの完全修飾ドメイン名 (FQDN) または IP アドレスを持っている必要があり、サブジェクト名を FQDN に設定する必要があります。
指定する名前は、選択したタイプに対して有効である必要があります。- DNS (FQDN を使用します (例: hostname.labs.company.com))
- IP アドレス (例: 192.0.2.0)
- メール (例: example@company.com)
注表に示されているすべてのサブジェクト代替名は、次の手順で CSR を生成した後でのみ、検証、保存され、CSR に追加されます。
- XClarity Orchestrator のメニュー・バーから「管理」(