メインコンテンツまでスキップ

エッジ・クライアント・デバイス用 Management Hub の信頼できる外部署名済みサーバー証明書のインストール

プライベートまたは商用証明機関 (CA) によって署名された信頼できるサーバー証明書を使用できます。外部署名済みサーバー証明書を使用するには、証明書署名要求 (CSR) を生成し、そのサーバー証明書をインポートして、既存のサーバー証明書と置き換えます。

始める前に

重要
  • 新しいルート CA を使用して外部署名済み Lenovo XClarity Management Hub サーバー証明書をインストールした場合、Management Hub から管理対象デバイスへの接続が失われるため、デバイスを再度管理対象にする必要があります。ルート CA を変更せずに外部署名済み Lenovo XClarity Management Hub サーバー証明書をインストールする場合 (証明書の有効期限が切れた場合など)、デバイスを再管理する必要はありません。
  • CSR が生成された後、署名済みサーバー証明書がインポートされる前に新しいデバイスが追加された場合、新しいサーバー証明書を受け取るにはそれらのデバイスを再起動する必要があります。

このタスクについて

ベスト・プラクティスとして、常に v3 署名済み証明書を使用してください。

外部署名済みサーバー証明書は、「CSR ファイルの生成」ボタンを使用して最後に生成された証明書署名要求から作成する必要があります。

外部署名済みサーバー証明書コンテンツは、CA のルート証明書、中間証明書、およびサーバー証明書を含む CA 署名チェーン全体を含む証明書バンドルであることが必要です。

新しいサーバー証明書が信頼できる第三者によって署名されていない場合は、次に Lenovo XClarity Management Hub に接続したときに Web ブラウザーにセキュリティー・メッセージが表示されて、新しい証明書を承認するかどうかをたずねられます。このセキュリティー・メッセージが表示されないようにするには、サーバー証明書をダウンロードして、Web ブラウザーのトラステッド証明書のリストにインポートします (Web ブラウザーへのサーバー証明書のインポート を参照)。

Management Hubは、現行セッションを終了することなく、新しいサーバー証明書の使用を開始します。新規セッションは新しい証明書を使用して確立されます。使用中の新しい証明書を使用するには、Web ブラウザーを再起動します。

重要
サーバー証明書を変更した場合、すべての確立されたユーザー・セッションで Ctrl + F5 をクリックして Web ブラウザーの情報を最新に更新し、Management Hub に対する接続を再確立することによって、新しい証明書を受け入れる必要があります。

手順

外部署名済みサーバー証明書をインストールするには、以下の手順を実行します。

  1. 証明書署名要求を作成し、該当ファイルをローカル・システムに保存します。
    1. Management Hub のメニュー・バーで、「セキュリティー」(「セキュリティー」アイコン) > 「サーバー証明書」をクリックし、新しい「証明書署名要求の生成」カードを表示します。
      「証明書署名要求 (CSR) の生成」カード
    2. 「証明書署名要求 (CSR) の生成」カードから、要求のためのフィールドに入力します。
      • 証明機関に関連付けられた発行国または発行地域の 2 文字の ISO 3166 コード (米国の場合は US)。
      • 証明書に関連付けられた州または都道府県のフルネーム (California、New Brunswick など)。
      • 証明書に関連付けられた都市のフルネーム (San Jose など)。この値は、50 文字を超えてはなりません。
      • 証明書を所有する組織 (会社)。通常、これは正式な会社名です。Ltd.、Inc.、Corp など、サフィックスを含める必要があります (ACME International Ltd. など)。この値は、60 文字を超えてはなりません。
      • (オプション) 証明書を所有する組織単位 (ABC Division など)。この値は、60 文字を超えてはなりません。
      • 証明書の所有者の共通名。これは、証明書を使用しているサーバーのホスト名である必要があります。この値は、63 文字を超えてはなりません。
        現在のところ、この属性は証明書に影響を与えません。
      • (オプション) CSR の生成時にカスタマイズ、削除され、X.509「subjectAltName」拡張に追加されるサブジェクト代替名。指定されたサブジェクト代替名は検証 (指定されたタイプに基づいて) され、CSR が生成された後にのみ CSR に追加されます。

        デフォルトでは、Management Hub のゲスト・オペレーティング・システムのネットワーク・インターフェースによって検出された IP アドレスおよびホスト名に基づいて、Management Hub が CSR のサブジェクト代替名を自動的を定義します。

        重要
        サブジェクト代替名は、管理ハブの完全修飾ドメイン名 (FQDN) または IP アドレスを含んでいる必要があり、サブジェクト名を管理ハブの FQDN に設定する必要があります。CSR プロセスを開始する前に、これらの必須フィールドが存在し、正しいことを確認し、作成された証明書が完了していることを確認します。証明書データが欠落していると、管理ハブを Lenovo XClarity Orchestrator に接続しようとするときに、信頼できない接続が発生する可能性があります。
        指定する名前は、選択したタイプに対して有効である必要があります。
        • DNS (FQDN を使用します (例: hostname.labs.company.com))
        • IP アドレス (例: 192.0.2.0)
        • メール (例: example@company.com)
  2. トラステッド証明機関 (CA) に CSR を送信します。CA は CSR に署名して、サーバー証明書を返送します。
  3. 外部署名済みサーバー証明書と CA 証明書を Management Hub にインポートし、現在のサーバー証明書を置き換えます。
    1. 「証明書署名要求 (CSR) の生成」カードから、「証明書のインポート」をクリックして、「証明書のインポート」ダイアログを表示します。
    2. サーバー証明書と CA 証明書を PEM 形式でコピーして貼り付けます。サーバー証明書から始めて、ルート CA 証明書の証明書チェーン全体を指定する必要があります。
    3. インポート」をクリックして、サーバー証明書を Management Hub 信頼ストアに保存します。
  4. Ctrl + F5 を押してブラウザーの情報を更新し、Web インターフェースへの接続を再確立して、新しい証明書を受け入れます。これは、すべての確立済みユーザー・セッションで実行する必要があります。