メインコンテンツまでスキップ

XClarity Management Hub 2.0 セキュリティー証明書の管理

Lenovo XClarity Management Hub 2.0 は SSL 証明書を使用して、管理ハブと管理対象デバイスとの間で信頼できるセキュアな通信を確立するだけでなく、ユーザーまたはさまざまなサービスによる管理ハブとの通信も確立します。デフォルトでは、XClarity Management Hub 2.0 および XClarity Orchestrator ポータルは、内部証明機関で発行された自己署名 XClarity Orchestrator 生成証明書を使用します。

確認者: Corneliu P, Stefan J: 2023 年 12 月 4 日

重要
セキュリティー証明書を管理するには、SSL 標準と SSL 証明書の基本的な理解 (SSL 標準と SSL 証明書の概要やその管理方法など) が必要です。公開鍵と証明書に関する一般情報については、Wikipedia の X.509 の Web ページInternet X.509 Public Key Infrastructure Certificate および Certificate Revocation List (CRL) Profile (RFC5280) Web ページ を参照してください。

XClarity Management Hub 2.0 の各インスタンス固有で生成されるデフォルトのサーバー証明書によって、多くの環境で十分なセキュリティーが提供されます。また、XClarity Management Hub 2.0 で証明書を管理できるほか、サーバー証明書をカスタマイズしたり置き換えたりすることもできます。XClarity Management Hub 2.0 には、環境に合わせて証明書をカスタマイズするオプションが用意されています。たとえば、以下のオプションがあります。

  • 組織に固有の値を使用する内部証明機関やエンド・サーバーの証明書を再生成して、新しいキーのペアを生成できます。

  • 選択した証明機関に送信できる証明書署名要求 (CSR) を生成してカスタムの証明書に署名し、それを管理ハブにアップロードしてホストしているすべてのサービスでエンド・サーバー証明書として使用できます。

  • サーバー証明書をローカル・システムにダウンロードして、その証明書を Web ブラウザーの信頼できる証明書のリストにインポートできます。

XClarity Management Hub 2.0 は、送信されてくる SSL/TLS 接続を受け入れるいくつかのサービスを提供します。Web ブラウザーなどのクライアントがこれらのサービスのいずれかに接続する場合、管理ハブはそのサーバー証明書を接続してきたクライアントに提示して識別させます。クライアントは、トラステッド証明書のリストを維持する必要があります。管理ハブのサーバー証明書がクライアントのリストに含まれていない場合、機密性の高い情報を信頼できないソースとやりとりすることを避けるために、クライアントは管理ハブから切断されます。

XClarity Management Hub 2.0 は、管理対象デバイスおよび外部サービスと通信する場合はクライアントとして機能します。これが発生すると、管理対象デバイスまたは外部サービスは、管理ハブが検証するサーバー証明書を提供します。管理ハブは、トラステッド証明書のリストを維持します。管理対象デバイスまたは外部サービスが提供するトラステッド証明書がリストに含まれていない場合、機密性の高い情報を信頼できないソースとやりとりすることを避けるために、管理ハブは管理対象デバイスまたは外部サービスから切断されます。

サーバー証明書

初期ブート時に、固有のキーと自己署名証明書が生成されます。これらはデフォルトのルート証明機関として使用され、XClarity Management Hub 2.0 のセキュリティー設定の「証明機関」ページで管理できます。キーが漏えいした場合や、組織にすべての証明書を定期的に交換しなければならないというポリシーがある場合を除いて、このルート証明書を再生成する必要はありません (自己署名 XClarity Management Hub 2.0・サーバー証明書の再生成 を参照)。

また、初期セットアップ中に別の鍵が生成され、内部証明機関によって署名されたサーバー証明書が作成されます。この証明書は、デフォルトの管理ハブ・サーバー証明書として使用されます。これは、XClarity Management Hub 2.0 によって IP アドレス、ホスト名、またはドメイン・ネームの変更が検出されるたびに再生成され、証明書にサーバーの正しいアドレスが含まれるようにします。この証明書はカスタマイズでき、オンデマンドで生成できます (自己署名 XClarity Management Hub 2.0・サーバー証明書の再生成参照)。

デフォルトの自己署名サーバー証明書の代わりに外部署名済みサーバー証明書を使用することもできます。これには、証明書署名要求 (CSR) を生成し、プライベートまたは商用のルート証明機関を使用して CSR に署名して、すべての証明書チェーンを管理ハブにインポートします (信頼できる外部署名済み XClarity Management Hub 2.0 ・サーバー証明書のインストールを参照)。

デフォルトの自己署名サーバー証明書を使用する場合は、Web ブラウザーに証明書のエラー・メッセージが表示されないようにするために、信頼できるルート証明機関としてサーバー証明書を Web ブラウザーにインポートすることをお勧めします (Web ブラウザーへの XClarity Management Hub 2.0・サーバー証明書のインポート を参照)。