この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
証明書署名要求(CSR)を生成して新しい証明書を取得し、新しい証明書を CIMC にアップロードして現在のサーバ証明書と交換することができます。 サーバ証明書は、Verisign のようなパブリック Certificate Authority(CA; 認証局)、または独自に使用している認証局のいずれかによって署名されます。
証明書を設定するには、admin 権限を持つユーザとしてログインする必要があります。
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||||||||||||
ステップ 2 | [Admin] タブの [Certificate Management] をクリックします。 | ||||||||||||||||
ステップ 3 |
[Actions] 領域で、[Generate New Certificate Signing Request] リンクをクリックします。 [Generate New Certificate Signing Request] ダイアログボックスが表示されます。 |
||||||||||||||||
ステップ 4 |
[Generate New Certificate Signing Request] ダイアログボックスで、次のプロパティを更新します。
|
||||||||||||||||
ステップ 5 |
[Generate CSR] をクリックします。 [Opening csr.txt] ダイアログボックスが表示されます。 |
||||||||||||||||
ステップ 6 | CSR ファイル csr.txt を管理するには、次のいずれかの手順を実行します。 |
証明書の発行と署名を行う認証局に CSR ファイルを送信します。 組織で独自の自己署名証明書を生成している場合は、CSR ファイルを使用して自己署名証明書を生成できます。
(注) |
これらのコマンドは、CIMC CLI ではなく、OpenSSL パッケージを使用している Linux サーバで入力します。 |
組織内のサーバで、証明書サーバのソフトウェア パッケージを取得してインストールします。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | openssl genrsa -out CA_keyfilename keysize 例: # openssl genrsa -out ca.key 1024 |
指定されたファイル名には、指定されたサイズの RSA キーが含まれています。 |
||
ステップ 2 | openssl req -new -x509 -days numdays -key CA_keyfilename -out CA_certfilename 例: # openssl req -new -x509 -days 365 -key ca.key -out ca.crt |
このコマンドは、指定されたキーを使用して、CA の自己署名証明書を新規に作成します。 証明書は指定された期間有効になります。 このコマンドは、ユーザに証明書の追加情報を求めるプロンプトを表示します。 証明書サーバは、アクティブな CA です。 |
||
ステップ 3 | echo "nsCertType = server" > openssl.conf 例: # echo "nsCertType = server" > openssl.conf |
このコマンドは、証明書がサーバ限定の証明書であることを指定する行を OpenSSL コンフィギュレーション ファイルに追加します。 この指定により、認証されたクライアントがサーバになりすます man-in-the-middle 攻撃を防御できます。 OpenSSL コンフィギュレーション ファイル openssl.conf には、"nsCertType = server" という文が含まれています。 |
||
ステップ 4 | openssl x509 -req -days numdays -in CSR_filename -CA CA_certfilename -set_serial 04 -CAkey CA_keyfilename -out server_certfilename -extfile openssl.conf 例: # openssl x509 -req -days 365 -in csr.txt -CA ca.crt -set_serial 04 -CAkey ca.key -out myserver05.crt -extfile openssl.conf |
このコマンドは、CA が CSR ファイルを使用してサーバ証明書を生成するように指示します。 サーバ証明書は、出力ファイルに含まれています。 |
この例は、CA の作成方法、および新規に作成された CA が署名するサーバ証明書の生成方法を示します。 これらのコマンドは、OpenSSL を実行している Linux サーバで入力します。
# /usr/bin/openssl genrsa -out ca.key 1024 Generating RSA private key, 1024 bit long modulus .............++++++ .....++++++ e is 65537 (0x10001) # /usr/bin/openssl req -new -x509 -days 365 -key ca.key -out ca.crt You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [GB]:US State or Province Name (full name) [Berkshire]:California Locality Name (eg, city) [Newbury]:San Jose Organization Name (eg, company) [My Company Ltd]:Example Incorporated Organizational Unit Name (eg, section) []:Unit A Common Name (eg, your name or your server's hostname) []:example.com Email Address []:admin@example.com # echo "nsCertType = server" > openssl.conf # /usr/bin/openssl x509 -req -days 365 -in csr.txt -CA ca.crt -set_serial 01 -CAkey ca.key -out server.crt -extfile openssl.conf Signature ok subject=/C=US/ST=California/L=San Jose/O=Example Inc./OU=Unit A/CN=example.com/emailAddress=john@example.com Getting CA Private Key #
新しい証明書を CIMC にアップロードします。
証明書をアップロードするには、admin 権限を持つユーザとしてログインする必要があります。
アップロードする証明書ファイルは、ローカルにアクセスできるファイル システムに配置されている必要があります。
(注) |
[CIMC Certificate Management] メニューを使用して最初に CSR を生成してから、その CSR を使用してアップロードする証明書を取得する必要があります。 この方法で取得されていない証明書はアップロードしないでください。 |
ステップ 1 | [Navigation] ペインの [Admin] タブをクリックします。 | ||||||
ステップ 2 | [Admin] タブの [Certificate Management] をクリックします。 | ||||||
ステップ 3 |
[Actions] 領域で、[Upload Server Certificate] をクリックします。 [Upload Certificate] ダイアログボックスが表示されます。 |
||||||
ステップ 4 |
[Upload Certificate] ダイアログボックスで、次のプロパティを更新します。
|
||||||
ステップ 5 | [Upload Certificate] をクリックします。 |