メインコンテンツまでスキップ

信頼できる外部署名済み XClarity Management Hub 2.0 ・サーバー証明書のインストール

プライベートまたは商用証明機関 (CA) によって署名された信頼できるサーバー証明書を使用できます。外部署名済みサーバー証明書を使用するには、証明書署名要求 (CSR) を生成し、そのサーバー証明書をインポートして、既存のサーバー証明書と置き換えます。

確認者: Corneliu P, Stefan J: 2023 年 12 月 4 日

考慮事項

重要

  • 新しいルート CA を使用して外部署名済みサーバー証明書をインストールした場合、管理ハブから管理対象デバイスへの接続が失われるため、デバイスを再度管理対象にする必要があります。ルート CA を変更せずに外部署名済みサーバー証明書をインストールする場合 (証明書の有効期限が切れた場合など)、デバイスを再管理する必要はありません。

  • CSR が生成された後、署名済みサーバー証明書がインポートされる前に新しいデバイスが追加された場合、新しいサーバー証明書を受け取るにはそれらのデバイスを再起動する必要があります。

ベスト・プラクティスとして、常に v3 署名済み証明書を使用してください。

外部署名済みサーバー証明書は、管理ハブで最後に生成された証明書署名要求から作成する必要があります。

外部署名済みサーバー証明書コンテンツは、CA のルート証明書、中間証明書、およびサーバー証明書を含む CA 署名チェーン全体を含む証明書バンドルであることが必要です。

新しいサーバー証明書が信頼できる第三者によって署名されていない場合は、次に XClarity Management Hub 2.0 に接続したときに Web ブラウザーにセキュリティー・メッセージが表示されて、新しい証明書を承認するかどうかをたずねられます。このセキュリティー・メッセージが表示されないようにするには、サーバー証明書をダウンロードして、Web ブラウザーのトラステッド証明書のリストにインポートします (Web ブラウザーへの XClarity Management Hub 2.0・サーバー証明書のインポート を参照)。

Web ブラウザーは自動的に更新され、新しい証明書を承認します。

信頼できる外部署名済みサーバー証明書のインストール

外部署名済みサーバー証明書をインストールするには、以下の手順を実行します。

  1. 証明書署名要求を作成し、該当ファイルをローカル・システムに保存します。

    1. セキュリティー」ビューのコンテキスト・メニューで、「証明書」をクリックします。

    2. 証明書署名要求 (CSR) の生成」パネルで、各フィールドに値を指定し、「CSR ファイルの生成」をクリックします。

      • 組織は通常、証明書を所有する会社の正式な名前です。Ltd.、Inc.、Corp など、サフィックスが含まれます (ACME International Ltd. など)。

      • 組織単位は、証明書を所有する会社の部門です (ABC Division など)。

      • 共通名は通常、証明書を使用するサーバーの完全修飾ドメイン名 (FQDN) または IP アドレスです (www.domainname.com または 192.0.2.0 など)。この値は、63 文字を超えてはなりません。

      • 結果の CSR の X.509 「subjectAltName」拡張のサブジェクト代替名をカスタマイズできます。CSR に 1 つ以上のサブジェクト代替名を指定する場合は、指定したサブジェクト代替名のみが CSR に保存されます。以下のタイプのサブジェクト代替名を指定することができます。指定する名前が、選択したタイプに対して有効であることを確認します。指定されたサブジェクト代替名は検証 (指定されたタイプに基づいて) され、CSR が生成された後にのみ CSR に追加されます。

        • DNS (ホスト名または FQDN を使用します (例: hostname.labs.company.com))
        • IP アドレス (例: 192.0.2.0)
        • メール (例: example@company.com)
        サブジェクト代替名を指定しない場合は、管理ハブのデフォルトの名前とタイプが使用されます。

        • IP アドレス。現在の管理ハブの IP アドレス

        • DNS 名。管理ハブのホスト名

        • DNS 名。ドメイン・ネームが指定されている場合は、管理ハブの FQDN。それ以外の場合は空です。

        重要
        サブジェクト代替名は、管理ハブのホスト名または完全修飾ドメイン名 (FQDN)、および IP アドレスを含んでいる必要があり、サブジェクト名を管理ハブのホスト名または FQDN に設定する必要があります。CSR プロセスを開始する前に、これらの必須フィールドが存在し、正しいことを確認し、作成された証明書が完了していることを確認します。証明書データが欠落していると、管理ハブを Lenovo XClarity Orchestrator に接続しようとするときに、信頼できない接続が発生する可能性があります。
      重要

      • 続行する前に、新しく生成された証明書に、サブジェクト代替名の一部として FQDN および IP アドレスが含まれていることを確認します。

      • 新しく生成された証明書が、サーバー証明書クライアント証明書の両方として使用されるように構成されていることを確認します。

  2. トラステッド証明機関 (CA) に CSR を送信します。CA は CSR に署名して、サーバー証明書を返送します。

    重要
    CSR に保存されているサブジェクト代替名はすべて、CSR に署名して Web 証明書を生成するために使用する必要があります。

  3. 外部署名済みサーバー証明書と CA 証明書を XClarity Management Hub 2.0 にインポートし、現在のサーバー証明書を置き換えます。

    1. 証明書署名要求 (CSR)」パネルで、「証明書のインポート」をクリックして、「証明書のインポート」ダイアログを表示します。

    2. 外部署名済みサーバー証明書を PEM 形式で挿入します。サーバー証明書から始めて、ルート CA 証明書の証明書チェーン全体を指定する必要があります。

    3. インポート」をクリックして、サーバー証明書を管理ハブ信頼ストアに保存します。

      重要
      管理ハブの CSR に保存されているサブジェクト代替名は、インポートするサーバー証明書に保存されているサブジェクト代替名と完全に一致する必要があります。不一致がある場合 (たとえば、CSR/署名済み証明書の IP アドレスが管理ハブの IP アドレスと同じではない場合)、サーバー証明書のインポートとインストールは成功しますが、信頼できない接続 (ユーザー・インターフェースにアクセスできないなど) になる可能性があります。