SSL 証明書の処理

このトピックでは、SSL セキュリティー・プロトコルに使用できる証明書の管理ついて説明します。

WEB、Redfish、および LDAP クライアントは、同じ証明書構成を使用します。SSL 証明書の構成を変更する場合は、必ず SSL 接続を再確立する必要があります。SSL は、自己署名証明書またはサード・パーティーの認証局が署名した証明書のいずれかで使用できます。自己署名証明書の使用は、SSL を使用するための最も簡単な方法ですが、わずかにセキュリティー上のリスクがあります。このリスクは、SSL クライアントが、クライアントとサーバー間で最初に試行された接続の SSL サーバーの ID を検証する方法がないために発生します。悪意のある第三者がサーバーになりすまし、XClarity Controller とブラウザーの間を流れるデータを傍受する可能性があります。ブラウザーと XClarity Controller の間の初回接続時に、自己署名証明書がブラウザーの証明書ストアにインポートされると、(初回接続で攻撃により暗号漏えいされなかったことを前提として) その後のすべての通信はそのブラウザーではセキュアです。「SSL 証明書管理」ページを使用して鍵ペアと自己署名証明書を生成すると、SSL が有効になる場合があります。

セキュリティーをより完全に行うには、認証局 (CA) によって署名された証明書を使用します。署名済み証明書を取得するには、以下の手順を実行します。

「SSL 証明書管理」の下の「生成」アイコンから「CSR (証明書署名要求) の生成」を選択します。
必須フィールドに入力し、「生成」を選択します。
自己署名証明書が生成されると、「SSL 証明書管理」に表示されます。
「ダウンロード」アイコンから「証明書署名要求 (CSR) のダウンロード」を選択して、署名済み証明書をダウンロードします。
署名済み証明書がダウンロードされたら、「CA 証明書管理」の下にある「署名済み証明書のインポート」アイコンを選択して、XClarity Controller にインポートします。

CA の機能は、XClarity Controller の ID を検査することです。証明書には、CA および BMC のデジタル署名が含まれています。既知の CA が証明書を発行する場合、または CA の証明書が既に Web ブラウザーにインポートされている場合、ブラウザーは証明書を検証することができ、確実に BMC Web サーバーを識別できます。

SSL は、証明書内の XClarity Controller のホスト名 (または共通名) を、Web ブラウザーで表示されるホスト名と比較することに注意してください。

フィードバックを送る