Cisco Virtualization Experience Client Manager 4.9 アドミニストレーション ガイド
Cisco VXC Manager のセキュリティについて
Cisco VXC Manager のセキュリティについて
発行日;2012/07/18 | 英語版ドキュメント(2012/04/24 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

Cisco VXC Manager のセキュリティについて

デバイスでの証明書のインポート

WTOS

SUSE Linux

セキュアな通信(HTTPS)の使用

Cisco VXC Manager Agent で開始される HTTPS 通信

Cisco VXC Manager Administrator Console で開始される HTTPS 通信

ポート番号の判別

プロトコルの判別

Cisco VXC Manager デバイス セキュリティのイネーブル化

Cisco VXC Manager セキュリティ証明書の変更

Cisco VXC Manager のセキュリティについて

この付録では、Cisco VXC Manager のセキュリティに関して詳しく説明します。


) HTTPS 通信用に Cisco VXC Manager を設定する方法に関する詳細については、『Installation Guide for Cisco Virtualization Experience Client Manager』を参照してください。


Cisco VXC Manager では、無許可の Cisco VXC Manager インストールによってデバイスが管理されないよう、Device Manager を設定できます。[Enable Device Security] オプションが設定されている場合、Cisco VXC Manager Agent(HAgent)と Cisco VXC Manager Web Service は、1 対 1 の関係に入ります。この関係では、デバイスと Web Service の両方が共通して一意のセキュリティ証明書を共有します。Cisco VXC Manager 要求を処理する前に、デバイスの Cisco VXC Manager Agent が証明書を確認します。Web Service の証明書が自分自身の証明書と一致した場合、Cisco VXC Manager Agent は、デバイスが要求された機能または命令を実行することを許可します。証明書が一致しなかった場合、Cisco VXC Manager Agent は、どのような要求にもデバイスが従わないようにします。


) Cisco ThreadX デバイスは、デバイス セキュリティをサポートしません。



注意 デバイス セキュリティをイネーブルにする場合:デバイス セキュリティをイネーブルにする場合は、証明書番号をメモし、安全な場所に保管してください。何らかの理由で Cisco VXC Manager インストールが破損し、Cisco VXC Manager の再インストールが必要になった場合は、新しい証明書番号が発行されます。ただし、元の証明書番号がないとデバイスを管理できません。Cisco VXC Manager では、セキュリティ証明書を新しい証明書に変更するか、古い証明書を回復するかというオプションが提示されます。
デバイス セキュリティをディセーブルにする場合:デバイス セキュリティをディセーブルにする場合は、次のチェックイン時まで、既存のデバイスはセキュリティ証明書をリリースしません。サーバが証明書を提供しなくなるため、これらのデバイスの更新または検出はできません。それぞれの間隔(プッシュではなくプル)でチェックインする必要があります。

Cisco VXC Manager のセキュリティをイネーブルにするには、次の手順を実行します。

「デバイスでの証明書のインポート」

「セキュアな通信(HTTPS)の使用」

「Cisco VXC Manager デバイス セキュリティのイネーブル化」

「Cisco VXC Manager セキュリティ証明書の変更」

デバイスでの証明書のインポート

Cisco VXC Manager のコンポーネント間でセキュアな通信を開始する前に、証明書をデバイスにインポートします。証明書をインポートするには 2 つの方法があります。1 つは、証明書を含むパッケージを作成し、展開する方法です。もう 1 つは、証明書を含む DDC を作成し、DDC が自動的に証明書をすべてのデバイスに展開できるようにする方法です。インポート手順は、デバイスの OS によって異なります。


ヒント 証明書認証:証明書パッケージをデバイスに展開した後、証明書をサーバで認証する必要があります。サーバとクライアント間の証明書認証の基準は、認証局、証明書の作成日、証明書の名前に基づきます。証明書認証が正常に行われると、サーバとクライアントは相互のセキュアな通信を開始します。

WTOS

WTOS が実行されているデバイスで証明書をインポートするには、(Cisco VXC Manager で登録するその他のパッケージと同様に)2 つのパッケージを登録する必要があります。1 つは、証明書を追加するパッケージで、もう 1 つは、デバイスから証明書を削除するパッケージです。証明書を追加または削除するときは、wnos.ini ファイルを変更して、2 つの別々のパッケージを登録する必要があります。

証明書パッケージのフォルダ構造は VXC-M Package¥CADeployment で、CADeployment フォルダには wnos というフォルダが 1 つあります。wnos というフォルダには、cacerts というフォルダと、wnos.ini というファイルがあります。cacerts というフォルダには、実際の証明書ファイルがあります。

次に、証明書を追加する wnos.ini の例を示します。

# Bypass the user log in to the local device
signon=0
# Set the Privilege to high
Privilege=high
# Command to Import the certificate to WTOS devices
AddCertificate= CA certificate file name

次に、証明書を削除する wnos.ini の例を示します。
# Bypass the user log in to the local device
signon=0
# Set the Privilege to high
Privilege=high
# Command to delete the certificate in WTOS devices
DelCertificate= CA certificate file name

次に、WTOS デバイスに証明書を追加するための rsp ファイルの例を示します。

[Version]
Number=CADeployment
Description=CA Certificate Deployment
OS=BL
Category=Images
ImageSize=
[Script]

SUSE Linux

次に、SUSE Linux 証明書を追加するための wlx.ini 設定の例を示します。

ImportCerts=yes
Certs=rootca_new.cer;vxcm_new.cer

次に、SUSE Linux デバイスに証明書を追加するための rsp ファイルの例を示します。

[Version]
Number=Certs_Package
OS=SLX
Category=Other Packages
[Script]
RP= "<regroot>"

セキュアな通信(HTTPS)の使用

Cisco VXC Manager は、Cisco VXC Manager のコンポーネント間でセキュアな HTTPS 通信をサポートします。

セキュアな通信は、次の 2 つの方法で開始できます。

Cisco VXC Manager Agent で開始される HTTPS 通信

Cisco VXC Manager Administrator Console で開始される HTTPS 通信

Cisco VXC Manager Agent で開始される HTTPS 通信

Cisco VXC Manager Agent は、クライアントデバイスの起動中に HServer との通信を開始できます。クライアントの Cisco VXC Manager Agent は、ブート時に次の情報を DHCP サーバまたはプロキシ サーバに要求します。

サーバの IP アドレス

通信に使用する HTTPS ポート番号

Cisco VXC Manager Agent が DHCP オプション タグから HTTPS ポート番号を取得できる場合は、IP アドレスとポート番号を使用して、HTTPS を介して HServer と通信します。

Cisco VXC Manager Agent が DHCP オプション タグから HTTPS ポート番号を取得できない場合は、次の順に試行します。

1. Cisco VXC Manager Agent は、ポート 443 および 8443 を使用して、HTTPS による通信を試行します。

2. Cisco VXC Manager Agent が HTTPS で通信できない場合は、ポート 80 および 280 を使用して、HTTP による接続を試行します。

3. Cisco VXC Manager Agent が正常に HServer との通信を開始できた場合、通信メカニズム、IP アドレス、および使用したポート番号をキャッシュし、この情報を後続の要求に使用します。

4. 起動時に HTTPS 通信が失敗した場合、Cisco VXC Manager Agent で HTTPS プロトコルが再試行されません。

Cisco VXC Manager Administrator Console で開始される HTTPS 通信

HServer との通信に使用するポート番号およびプロトコルを Administrator Console で判別できるように、ネットワークを設定できます。

ポート番号の判別

Administrator Console が通信用のポート番号を判別できるようにするには、次のようにします。

手順


ステップ 1 目的のポート番号を使用して、HServer をホスティングする IIS を設定します。

ステップ 2 IIS および WWW サービスを停止します。

ステップ 3 HServerInit サービスを開始します。

Administrator Console の開始時に、HServer との通信に使用するポート番号と IP アドレスをデータベースに照会し、取得します。


 

プロトコルの判別

Administrator Console が通信用のプロトコルを判別できるようにするには、次のようにします。

手順


ステップ 1 HServer をホスティングする IIS を TCP、SSL、または TCP/SSL ポートとバインドします。


ヒント SSL ポートの場合は、証明書をインストールする必要があります。


ステップ 2 IIS および WWW サービスを停止します。

ステップ 3 HServerInit サービスを開始します。

ポート番号と IP アドレスは、Cisco VXC Manager データベースに格納されます。

SSL を介して要求を受け取ると、Cisco VXC Manager 全体の設定がセキュアに設定されます。

Administrator Console での設定は必要ありませんが、通知のために [Secure Communications] チェックボックスが [Serv/Port Settings Preferences] ダイアログボックスに表示されます。

図 B-1 Serv/Port Settings Preferences

 

IIS で SSL ポートが設定されている場合、[Secure Communications] チェックボックスがオンになります。それ以外の場合は、オフになります。

セキュアな通信を開始する前に、次のすべての設定が行われていることを確認します。

[GUI Listening Port] は 280。

[Alternate GUI Listening Port Range] は 49152 ~ 49161。

[Standard Service Listening Port] は 8008。

[Web Server HTTP Port] は 80。

[Web Server HTTPS Port] は 443。

[Secure Communications] はオン。

Cisco VXC Manager Agent が、[Server Host Name] に入力されたサーバ ホスト名を使用してサーバに接続する場合、[Use Host] チェックボックスはオン。[Server Host Name] のデフォルト値はホスト マシンとなり、管理者はこの値を別のホスト名に変更できる点に注意してください(HTTP プロキシ経由で転送する要求の場合に便利です)。


ヒント セキュアな通信のフラグは、リモート リポジトリとマスター リポジトリの両方に適用されます。



 

Cisco VXC Manager デバイス セキュリティのイネーブル化

Cisco VXC Manager では、無許可の Cisco VXC Manager インストールによってデバイスが管理されないよう、Device Manager を設定できます。

デバイス セキュリティをイネーブルにするには、次のようにします。

手順


ステップ 1 Administrator Console のツリー ペインで、[Configuration Manager] を展開して、[Preferences] を選択して、[Cisco VXC Manager Preferences] のカテゴリが表示された詳細ペインを表示します。

ステップ 2 [Device Manager Preferences] をダブルクリックして、[Device Manager Preferences] ダイアログボックスを開きます。

図 B-2 Device Manager Preferences

 

ステップ 3 [Enable Device Security] チェックボックスをオンにして [OK] をクリックし、[Yes] をクリックして確認します。

これ以降、デバイスがセキュリティ証明書をまだ保持していない場合は、次回のデバイスの再検出またはチェックイン時に、Cisco VXC Manager は、デバイスの Cisco VXC Manager Agent と Cisco VXC Manager インストール間の 1 対 1 の関係を確立します。この関係によって、許可されていない Cisco VXC Manager インストールはデバイスを管理できなくなります。


ヒント デバイス セキュリティを適用すると、Cisco VXC Manager は、Web サービスと Cisco VXC Manager Agent 間の通信をすべて自動的に暗号化します。ただし、暗号化はデバイス セキュリティとは別にオンにできます(「Service Preferences」を参照)。



 

Cisco VXC Manager セキュリティ証明書の変更

Cisco VXC Manager セキュリティ証明書を変更する前に、デバイス セキュリティをディセーブルにしてください。証明書番号を変更した後で、デバイス セキュリティを再度イネーブルにできます(「Cisco VXC Manager デバイス セキュリティのイネーブル化」を参照)。

Cisco VXC Manager の証明書番号を変更するには、次の手順を実行します(証明書を新しい番号に変更することも、古い証明書を復元することもできます)。

Cisco VXC Manager セキュリティ証明書を変更するには、次のようにします。

手順


ステップ 1 [Configuration Manager] を展開して、[Licensing] ノードを右クリックし、[New] > [Certificate] を選択して [Change Security Certificate] ダイアログボックスを開きます(Cisco VXC Manager によって、[New Certificate] ボックスに新しい証明書番号が作成されることに注意してください)。

図 B-3 Change Security Certificate

 


ヒント デバイス セキュリティをディセーブルにしていない場合、警告メッセージが表示されます。


ステップ 2 新しい証明書を受け入れるかどうかによって、次のいずれかを実行します。

受け入れる場合は、[OK] をクリックします。この手順はこれで完了です。

受け入れない場合は、復元するセキュリティ証明書を入力し(多くの場合は、デバイスが前の Cisco VXC Manager インストールからの証明書を共有しており、セキュリティ証明書を復元することによって、デバイスの制御を再獲得するため)、[OK] をクリックします。


注意 セキュリティ証明書を変更する前に、すべてのデバイスがチェックインして、現在の証明書を解放できるように、1 回のチェックイン間隔の間待機します。現在の証明書を使用するデバイスが、この時間内にチェックインしない場合に、新しい証明書のセキュリティをイネーブルにすると、チェックインしなかったデバイスは管理不能になります(まだ古い証明書を保持しているため)。