証明書とサーバー セキュリティの管理

この章は、次の内容で構成されています。

サーバ証明書の管理

証明書署名要求(CSR)を生成して新しい証明書を取得し、新しい証明書を Cisco IMC にアップロードして現在のサーバー証明書と交換することができます。サーバー証明書は、Verisign のようなパブリック認証局(CA)、または独自に使用している認証局のいずれかによって署名されます。生成された証明書のキーの長さは 2048 ビットです。


(注)  

この章に記載されている以下のタスクを実行する前に、Cisco IMC の時刻が現在の時刻に設定されていることを確認します。

手順

ステップ 1

Cisco IMC から CSR を生成します。

ステップ 2

証明書の発行と署名を行う認証局に CSR ファイルを送信します。組織で独自の自己署名証明書を生成している場合は、CSR ファイルを使用して自己署名証明書を生成できます。

ステップ 3

新しい証明書を Cisco IMC にアップロードします。

(注)  

 

アップロードされた証明書は、Cisco IMC によって生成された CSR から作成される必要があります。この方法で作成されていない証明書はアップロードしないでください。

証明書署名要求を生成する


(注)  

[Common Name] および [Organization Unit] フィールドには特殊文字(たとえばアンパサンド(&))を使用しないでください。

始める前に

  • 証明書を設定するには、admin 権限を持つユーザとしてログインする必要があります。

  • Cisco IMC の時刻が現在の時刻に設定されていることを確認します。

手順

ステップ 1

[ナビゲーション(Navigation)] ペインの [管理(Admin)] メニューをクリックします。

ステップ 2

[管理(Admin)]メニューで [セキュリティ管理(Security Management)]をクリックします。

ステップ 3

[Actions] 領域で、[Generate New Certificate Signing Request] リンクをクリックします。

[Generate New Certificate Signing Request] ダイアログボックスが表示されます。

ステップ 4

[Generate New Certificate Signing Request] ダイアログボックスで、次のプロパティを更新します。

名前 説明

[コモンネーム(Common Name)] フィールド

Cisco IMC の完全修飾名。

デフォルトでは、サーバの CN は CXXX-YYYYYY 形式で表示されます(XXX はサーバのモデル番号で YYYYYY はシリアル番号です)。

最新バージョンにアップグレードするとき、CN はそのまま保持されます。

サブジェクト代替名(SAN)

これでサブジェクト代替名の追加の入力パラメータを入力できます。これには証明書の subject フィールドを使用して関連付けられるさまざまな値を使用できます。

SAN のさまざまなオプションには次のものがあります。

  • Email

  • DNS name

  • IP アドレス

  • Uniform Resource Identifier(URI)

(注)  

 

このフィールドは任意です。各タイプの SAN インスタンスの数をどのようにも設定できますが、インスタンスの合計の数は 10 を超えることはできません。

[Organization Name] フィールド

証明書を要求している組織。

[組織単位(Organization Unit)] フィールド

組織ユニット

[地域(Locality)] フィールド

証明書を要求している会社の本社が存在する市または町。

[State Name] フィールド

証明書を要求している会社の本社が存在する州または行政区分。

[Country Code] ドロップダウン リスト

会社が存在する国。

[電子メール(Email)] フィールド

会社の電子メールの連絡先。

Signature Algorithm

証明書署名要求を生成するための署名アルゴリズムを選択できます。次のいずれかになります。

  • SHA1

  • SHA256

  • SHA384

  • SHA512

  • ECDSA

  • RSA

証明書署名要求を生成するために選択されているデフォルトの署名アルゴリズムは SHA384 です。

(注)  

 

署名アルゴリズム ECDSA および RSA は、Cisco UCS C シリーズ M7 サーバでのみ使用できます。

[キーの長さ(Key Length)] ドロップダウン リスト

(注)  

 

  • このオプションは、Cisco UCS C シリーズ M7 サーバでのみ使用できます。

    このオプションは、ECDSA を除くすべての[署名アルゴリズム(Signature Algorithm)]で使用できます。

次のいずれかを選択できます:

  • 1024

  • 2048

  • 4096

[キー カーブ(Key Curve)] ドロップダウン リスト

(注)  

 

  • このオプションは、Cisco UCS C シリーズ M7 サーバでのみ使用できます。

  • このオプションは、ECDSA [署名アルゴリズム(Signature Algorithm)] でのみ使用できます。

次のいずれかを選択できます:

  • P256

  • P384

  • P512

[Challenge Password (チャレンジ パスワード)] チェック ボックス

チャレンジ パスワードは、証明書署名要求 (CSR) ダイアログ ボックスに組み込まれています。このダイアログ ボックスでは、発行元認証局 (CA) が証明書を認証するために使用します。

[Challenge Password (チャレンジ パスワード)] オプションが選択されている場合は、有効なパスワード文字列を入力するためユーザーにチャレンジ パスワード文字列が入力されます。

(注)  

 

ユーザーにはチャレンジ パスワードを選択しないオプションがあります。この場合、チャレンジ パスワード文字列は入力されません。ただし、ユーザーは CSR の正常な生成に進むことができます。

[チャレンジパスワード文字列(Challenge Password String)] フィールド

このオプションは、[チャレンジ パスワード文字列(Challenge Password String)] が選択されている場合にのみ表示されます。文字列を入力してください。

[String Mask (文字列マスク)] ドロップダウン リスト

これにより、証明書署名要求 (CSR) ダイアログ ボックスで許可される文字列タイプのマスクが設定されます。このオプションは、特定のフィールドの特定の文字列タイプを使用する場合にはマスクしません。文字列のタイプは次のとおりです。

  • デフォルト: Printablestring、T61String、bmpstring を使用します。

  • pkix: Printablestring、BMPstring を使用します。

  • utf8only: UTF8Strings のみを使用します。

  • nombstr: Printablestring、T61String (BMPStrings または UTF8Strings 以外) を使用します。

[Self Signed Certificate] チェックボックス

自己署名した証明書を生成します。

警告

 
証明書の生成が成功した後、Cisco IMC Web GUI が再起動します。管理コントローラとの通信が一時的に切断され、再ログインが必要な場合があります。

(注)  

 

イネーブルの場合、CSR が生成され、自動的に署名およびアップロードが行われます。

[CSRの生成(Generate CSR)] ボタン

クリックして、証明書を生成します。

[Reset Values]ボタン

ダイアログ ボックスのすべての値をリセットします。

(注)  

 

自己署名証明書が有効な場合は、ステップ 5 および 6 を無視します。

ステップ 5

[CSR の作成(Generate CSR)] をクリックします。

[Opening csr.txt] ダイアログボックスが表示されます。

ステップ 6

CSR ファイル csr.txt を管理するには、次のいずれかの手順を実行します。

  1. [Open With] をクリックして csr.txt を表示します。

  2. [Save File] をクリックしてから [OK] をクリックし、ローカル マシンに csr.txt を保存します。

次のタスク

  • 証明書の発行と署名を行う認証局に CSR ファイルを送信します。組織で独自の自己署名証明書を生成している場合は、CSR ファイルを使用して自己署名証明書を生成できます。

  • 証明書のタイプがサーバ証明書であることを確認します。

自己署名証明書の作成

パブリック認証局(CA)を使用してサーバ証明書の生成と署名を行う代わりに、独自の CA を運用して独自の証明書に署名することができます。このセクションでは、Linux で実行されている OpenSSL 証明書サーバーを使用して CA を作成するコマンドおよびサーバー証明書を生成するコマンドについて説明します。OpenSSL の詳細については、http://www.openssl.org を参照してください。

(注)  

これらのコマンドは、Cisco IMC ではなく、OpenSSL パッケージを使用している Linux サーバーで入力します。

始める前に

  • 組織内のサーバで、証明書サーバのソフトウェア パッケージを取得してインストールします。

  • Cisco IMC の時刻が現在の時刻に設定されていることを確認します。

手順

  コマンドまたはアクション 目的

ステップ 1

openssl genrsa -out CA_keyfilename keysize

例:

# openssl genrsa -out ca.key 2048
このコマンドは、CA で使用される RSA 秘密キーを生成します。

(注)  

 
ユーザ入力なしで CA がキーにアクセスできるように、このコマンドに -des3 オプションは使用しないでください。

指定されたファイル名には、指定されたサイズの RSA キーが含まれています。

ステップ 2

openssl req -new -x509 -days numdays -key CA_keyfilename -out CA_certfilename

例:

# openssl req -new -x509 -days 365 -key ca.key -out ca.crt

このコマンドは、指定されたキーを使用して、CA の自己署名証明書を新規に作成します。証明書は指定された期間有効になります。このコマンドは、ユーザに証明書の追加情報を求めるプロンプトを表示します。

証明書サーバーは、アクティブな CA です。

ステップ 3

echo "nsCertType = server" > openssl.conf

例:

# echo "nsCertType = server" > openssl.conf

このコマンドは、証明書がサーバー限定の証明書であることを指定する行を OpenSSL 設定ファイルに追加します。この指定により、認証されたクライアントがサーバになりすます man-in-the-middle 攻撃を防御できます。

OpenSSL 設定ファイル openssl.conf には、"nsCertType = server" という文が含まれています。

ステップ 4

openssl x509 -req -days numdays -in CSR_filename -CA CA_certfilename -set_serial 04 -CAkey CA_keyfilename -out server_certfilename -extfile openssl.conf

例:

# openssl x509 -req -days 365 -in csr.txt -CA ca.crt -set_serial 04
-CAkey ca.key -out myserver05.crt -extfile openssl.conf

このコマンドは、CA が CSR ファイルを使用してサーバー証明書を生成するように指示します。

サーバー証明書は、出力ファイルに含まれています。

ステップ 5

openssl x509 -noout -text -purpose -in <cert file>

例:

openssl x509 -noout -text -purpose -in <cert file>
生成された証明書のタイプが [サーバー(Server)] であることを確認します。

(注)  

 

フィールド [Server SSL] および [Netscape SSL] サーバーの値が [Yes] でない場合は、タイプが [Server] の証明書を生成するように openssl.conf が設定されていることを確認します。

ステップ 6

(任意) 生成された証明書に正しい使用期限が設定されていない場合は、Cisco IMC の時刻が現在の時刻に設定されていることを確認し、ステップ 1 ~ 5 を繰り返して証明書を再生成します。

(任意)
正しい有効期限が設定された証明書が作成されます。

この例は、CA の作成方法、および新規に作成された CA が署名するサーバ証明書の生成方法を示します。これらのコマンドは、OpenSSL を実行している Linux サーバーで入力します。 

# /usr/bin/openssl genrsa -out ca.key 2048 Generating RSA private key, 2048 bit long modulus .............++++++ .....++++++ e is 65537 (0x10001) # /usr/bin/openssl req -new -x509 -days 365 -key ca.key -out ca.crt You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [GB]:US State or Province Name (full name) [Berkshire]:California Locality Name (eg, city) [Newbury]:San Jose Organization Name (eg, company) [My Company Ltd]:Example Incorporated Organizational Unit Name (eg, section) []:Unit A Common Name (eg, your name or your server's hostname) []:example.com Email Address []:admin@example.com # echo "nsCertType = server" > openssl.conf # /usr/bin/openssl x509 -req -days 365 -in csr.txt -CA ca.crt -set_serial 01 -CAkey ca.key -out server.crt -extfile openssl.conf Signature ok subject=/C=US/ST=California/L=San Jose/O=Example Inc./OU=Unit A/CN=example.com/emailAddress=john@example.com Getting CA Private Key #

次のタスク

新しい証明書を Cisco IMC にアップロードします。

Windows を使用した自己署名証明書の作成

始める前に

  • 証明書を設定するには、admin 権限を持つユーザとしてログインする必要があります。

  • Cisco IMC の時刻が現在の時刻に設定されていることを確認します。

手順

ステップ 1

[IIS Manager] を開いて管理するレベルに移動します。

ステップ 2

[Features] 領域で、[Server Certificate] をダブルクリックします。

ステップ 3

[Action] ペインで、[Create Self-Signed Certificate] をクリックします。

ステップ 4

[Create Self-Signed Certificate] ウィンドウで、[Specify a friendly name for the certificate] フィールドに証明書の名前を入力します。

ステップ 5

[OK]をクリックします。

ステップ 6

(任意) 生成された証明書に正しい使用期限が設定されていない場合は、Cisco IMC の時刻が現在の時刻に設定されていることを確認し、ステップ 1 ~ 5 を繰り返して証明書を再生成します。

正しい有効期限が設定された証明書が作成されます。

サーバ証明書のアップロード

サーバーにアップロードする証明書を参照して選択するか、または署名付き証明書のすべての内容をコピーして [Paste certificate content] テキスト フィールドに貼り付け、それをアップロードできます。

始める前に

  • 証明書をアップロードするには、admin 権限を持つユーザとしてログインする必要があります。

  • アップロードする証明書ファイルは、ローカルにアクセスできるファイル システムに配置されている必要があります。

  • 生成された証明書のタイプが [サーバー(Server)] であることを確認します。

  • 次の証明書形式がサポートされています。

    • .crt

    • .cer

    • .pem


(注)  

[Cisco IMC Certificate Management] メニューを使用して最初に CSR を生成してから、その CSR を使用してアップロードする証明書を取得する必要があります。この方法で取得されていない証明書はアップロードしないでください。

手順

ステップ 1

[ナビゲーション(Navigation)] ペインの [管理(Admin)] メニューをクリックします。

ステップ 2

[管理(Admin)] メニューで [証明書の管理(Certificate Management)] をクリックします。

ステップ 3

[Actions] 領域で、[Upload Server Certificate] をクリックします。

[Upload Certificate] ダイアログボックスが表示されます。

ステップ 4

[Upload Certificate] ダイアログボックスで、次のプロパティを更新します。

名前 説明

ブラウザ クライアント ボタンから証明書をアップロード

証明書をアップロードできます。

ファイル

アップロードする証明書ファイル。

[参照(Browse)] ボタン

適切な証明書ファイルに移動できるダイアログボックスが表示されます。

[Paste Certificate content] オプション ボタン

テキスト ボックスが開き、そこで署名付き証明書の内容全体をコピーして、[証明書の内容を貼り付け(Paste certificate content)] テキスト フィールドに貼り付けることができます。

(注)  

 

アップロードの前に、証明書に署名が付されていることを確認します。

[アップロード(Upload)] ボタン

証明書をアップロードするには、[アップロード(4.3.1.230097)] をクリックします。

ステップ 5

[Upload Certificate]をクリックします。

外部証明書の管理

4.1.2 リリースより前のリリースでは、証明書署名要求 (CSR) を生成し、新しいサーバ証明書を Cisco IMC にアップロードすることができます。リリース 4.1.2 以降では、サーバ証明書に加えて、ワイルドカードまたは外部証明書および外部秘密キーをアップロードすることもできます。サーバ証明書とは異なり、複数の Cisco IMC サーバに同じ外部証明書とキーペアをアップロードして使用することができます。

  1. 外部証明書と外部秘密キーを Cisco IMC にアップロードします。

  2. アップロードされた証明書をアクティブにします。

    アクティブ化すると、新しい証明書と秘密キーのペアによって、Cisco IMC の既存の証明書とキーペアが置き換えられます。

外部証明書のアップロード

始める前に

  • admin 権限を持つユーザとしてログインする必要があります。

  • アップロードする証明書ファイルは、ローカルにアクセスできるファイル システムに配置されている必要があります。

  • 次の証明書形式がサポートされています。

    • .crt

    • .cer

    • .pem


(注)  

  • Cisco IMC は、Cisco UCS C シリーズ M4 サーバで、2048ビットおよび4096ビットの外部秘密キー サイズをサポートしています。

  • Cisco IMC は、 Cisco UCS C シリーズ サーバで 2048 ビット、4096 ビット、および 8192 ビットの外部秘密キー サイズをサポートしています。

手順

ステップ 1

[Navigation] ペインの [Admin] タブをクリックします。

ステップ 2

[Admin] タブの [Certificate Management] をクリックします。

ステップ 3

[アクション(Actions)] 領域で、[サーバ証明書のアップロード(Upload Server Certificate)] をクリックします。

[外部証明書のアップロード(External Upload Certificate)] ダイアログ ボックスが表示されます。

ステップ 4

[外部証明書のアップロード (Upload External Certificate )] ダイアログ ボックスで、適切なオプションを選択し、関連する詳細情報を入力します。

  • [リモートの場所からアップロード (Upload from remote location)]: リモートの場所から外部証明書をアップロードするには、このオプションボタンを選択します。

    名前 説明

    [リモートの場所からアップロード (Upload from remote location)] フィールド

    次のいずれかのプロトコルを選択します。

    • TFTP

    • FTP

    • SCP

    • SFTP

    • HTTP

    (注)  

     

    FTP、SCP または SFTP を選択した場合は、ユーザ名とパスワードの入力が求められます。

    [サーバ IP/ホスト名 (Server IP/Hostname)] ボタン

    リモート サーバのホスト名または IP アドレスを入力します。

    パスおよびファイル名

    外部証明書をアップロードするリモート サーバ上のファイルパスとファイル名を入力します。

    (注)  

     

    このオプションを使用するアップロードでサポートされるファイルの最大サイズは次のとおりです。

    • Cisco UCS C シリーズ サーバで最大 8 KB

    • Cisco UCS C シリーズ M4 サーバで最大 4 KB

    Username

    リモート サーバのユーザ名を入力します。
    Password

    リモート サーバのパスワードです。

  • [ブラウザ クライアントでアップロード (Upload by Browser client)]: ブラウザ クライアントを使用して外部証明書をアップロードするには、このオプション ボタンを選択します。

    [参照 (Browse)] をクリックして、外部証明書をアップロードする場所に移動します。

    (注)  

     

    このオプションを使用するアップロードで、以下の機種でサポートされるファイルサイズは、最大 5 KB です。

    • Cisco UCS C シリーズ M4 サーバ

    • Cisco UCS C シリーズ サーバ

  • [外部証明書の内容をペースト (Paste External Certificate Content)]]: このオプション ボタンを選択すると、外部証明書の詳細がダイアログボックスに直接貼り付けられます。

    (注)  

     

    このオプションを使用するアップロードでサポートされるファイルの最大サイズは次のとおりです。

    • Cisco UCS C シリーズ サーバで最大 8 KB

    • Cisco UCS C シリーズ M4 サーバで最大 4 KB

ステップ 5

[アップロード (Upload)] をクリックし、外部証明書をアップロードします。

次のタスク

外部秘密キーをアップロードしてから、アップロードした外部証明書をアクティブにします。

重要

外部証明書と外部秘密キーをアップロードすると、[外部証明書の有効化 (Activate External certificate)] タブが有効になります。アップロードした外部証明書をアクティブにするには、 [外部証明書の有効化 (Activate External certificate)] を選択します。

アップロードされた証明書をアクティブにすると、既存の証明書とキーのペアが置き換えられ、既存のすべての HTTPS セッションと SSH セッションが切断されます。

外部秘密キーのアップロード

始める前に

  • 外部秘密キーをアップロードするには、admin 権限を持つユーザとしてログインする必要があります。

  • 外部証明書がアップロード済みであることを確認します。


(注)  

  • Cisco IMC は、Cisco UCS C シリーズ M4 サーバで、2048ビットおよび4096ビットの外部秘密キー サイズをサポートしています。

  • Cisco IMC は、 Cisco UCS C シリーズ サーバで 2048 ビット、4096 ビット、および 8192 ビットの外部秘密キー サイズをサポートしています。

手順

ステップ 1

[Navigation] ペインの [Admin] タブをクリックします。

ステップ 2

[Admin] タブの [Certificate Management] をクリックします。

ステップ 3

[アクション(Actions)] 領域で、[外部秘密キーのアップロード(Upload External Private Key)] をクリックします。

[外部秘密キーのアップロード(Upload External Private Key)]ダイアログ ボックスが表示されます。

ステップ 4

[外部秘密キーのアップロード(Upload External Private Key)] ダイアログ ボックスで、適切なオプションを選択し、関連する詳細情報を入力します。

  • [リモートの場所からアップロード (Upload from remote location)]: リモートの場所から外部証明書をアップロードするには、このオプションボタンを選択します。

    名前 説明

    [リモートの場所からアップロード (Upload from remote location)] フィールド

    次のいずれかのプロトコルを選択します。

    • SFTP

    • SCP

    [サーバ IP/ホスト名 (Server IP/Hostname)] ボタン

    リモート サーバのホスト名または IP アドレスを入力します。

    パスおよびファイル名

    外部秘密キーをアップロードするリモート サーバ上のファイルパスとファイル名を入力します。

    (注)  

     

    このオプションを使用するアップロードでサポートされるファイルの最大サイズは次のとおりです。

    • Cisco UCS C シリーズ サーバで最大 8 KB

    • Cisco UCS C シリーズ M4 サーバで最大 4 KB

    Username

    リモート サーバのユーザ名を入力します。
    Password

    リモート サーバのパスワードです。

  • [ブラウザ クライアントでアップロード (Upload by Browser client)]: ブラウザ クライアントを使用して外部秘密キーをアップロードするには、このオプション ボタンを選択します。

    [参照 (Browse)] をクリックして、外部秘密キーをアップロードする場所に移動します。

    (注)  

     

    このオプションを使用するアップロードで、以下の機種でサポートされるファイルサイズは、最大 5 KB です。

    • Cisco UCS C シリーズ M4 サーバ

    • Cisco UCS C シリーズ サーバ

  • [外部秘密キーの内容をペースト (Paste External Private Key Content)]]: このオプション ボタンを選択すると、外部証明書の詳細がダイアログボックスに直接貼り付けられます。

    (注)  

     

    このオプションを使用するアップロードでサポートされるファイルの最大サイズは次のとおりです。

    • Cisco UCS C シリーズ サーバで最大 8 KB

    • Cisco UCS C シリーズ M4 サーバで最大 4 KB

ステップ 5

[アップロード (Upload)] をクリックし、外部秘密キーをアップロードします。

次のタスク

外部証明書と外部秘密キーをアップロードした後、アップロードされた外部証明書をアクティブにします。

重要

外部証明書と外部秘密キーをアップロードすると、[外部証明書の有効化 (Activate External certificate)] タブが有効になります。アップロードした外部証明書をアクティブにするには、 [外部証明書の有効化 (Activate External certificate)] を選択します。

アップロードされた証明書をアクティブにすると、既存の証明書とキーのペアが置き換えられ、既存のすべての HTTPS セッションと SSH セッションが切断されます。

外部証明書の有効化

始める前に

  • 外部証明書を有効化するには、admin 権限を持つユーザとしてログインする必要があります。

  • 外部証明書と外部秘密キーがアップロードされていることを確認します。

手順

ステップ 1

[Navigation] ペインの [Admin] タブをクリックします。

ステップ 2

[管理 (Admin)] タブの [証明書管理 (Certificate Management)] をクリックします。

外部証明書と外部秘密キーをアップロードすると、[外部証明書の有効化 (Activate External certificate)] タブ ( [アクション (Actions)] 領域) が有効になります。

ステップ 3

[外部証明書の有効化 (Activate External certificate)] をクリックします。

(注)  

 

外部証明書をアクティブにすると、既存のすべての証明書とキーペアが上書きされ、既存のすべての HTTPS セッションと SSH セッションが切断されます。

SPDM セキュリティ:MCTP SPDM

SPDM セキュリティ

Cisco M6 サーバーには、デバイス自体に対する攻撃のベクトルを提供したり、デバイスを使用してシステム内の別のデバイスを攻撃したりする可能性のある可変コンポーネントが含まれている場合があります。これらの攻撃から防御するために、SPDM(セキュリティ プロトコルおよびデータ モデル)の仕様は、さまざまなトランスポートおよび物理メディアを介してデバイス間でメッセージ交換を実行するためのメッセージ、データ オブジェクト、およびシーケンスを定義します。これは、管理コンポーネント トランスポート プロトコル(MCTP)を介した管理コントローラとエンドポイント デバイス間のメッセージ交換を調整します。

メッセージ交換には、コントローラにアクセスするハードウェア ID の認証が含まれます。SPDM は、デバイス認証および証明書管理の管理レベルを指定することにより、低レベルのセキュリティ機能と操作へのアクセスを可能にします。この機能は、Cisco IMC リリース 4.2(1a) で Cisco UCS C220 および 240 M6 サーバーでサポートされています。

エンドポイント証明書と認証局(ルート CA)証明書は、サーバーのすべてのユーザー インターフェイスにリスト表示されます。1 つ以上の外部デバイス証明書のコンテンツを Cisco IMC にアップロードすることもできます。SPDM ポリシーを使用すると、必要に応じて外部ルート CA 証明書または設定を変更または削除できます。不要になったルート CA 証明書を削除または置き換えることもできます。

SPDM セキュリティ ポリシーでは、次にリストするように、3 つのセキュリティ レベル設定のいずれかを指定できます。

  • フル セキュリティ:

    これは、最高の MCTP セキュリティ設定です。この設定を選択した場合、エンドポイントの認証が失敗すると、障害が生成されます。また、エンドポイントのいずれかでエンドポイント認証がサポートされていない場合も、障害が発生します。

  • 部分的なセキュリティ:

    この設定を選択した場合、エンドポイントの認証が失敗すると、障害が生成されます。エンドポイントのいずれかでエンドポイント認証がサポートされていない場合には、障害が生成されません。これはデフォルト設定として選択されています。

  • No Security

    この設定を選択した場合(エンドポイント測定が失敗しても)障害は発生しません。

MCTP SPDM 障害アラート設定の構成と表示


(注)  

一部の C シリーズ サーバでのみ有効になります。

次の手順を実行して、障害アラート設定を表示および変更できます。

手順

ステップ 1

[ナビゲーション(Navigation)] ペインで [管理(Admin)] メニューをクリックします。

ステップ 2

[管理(Admin)]メニューで [セキュリティ管理(Security Management)]をクリックします。

ステップ 3

[セキュリティ管理(Security Management)] タブ > [MCTP SPDM] タブ > [アクション(Actions)] エリアで、[障害アラート設定(Fault Alert Setting)] ドロップダウンをクリックします。

次のいずれかになります。

  • [完全(Full)] - このオプションを選択した場合、エンドポイントの認証が失敗すると、障害が生成されます。

    このオプションを選択した場合、エンドポイントがエンドポイント認証をサポートしていないときに障害が生成されます。

  • [一部(Partial)] - デフォルトのオプション。このオプションを選択した場合、エンドポイントの認証が失敗すると、障害が生成されます。

    このオプションを選択した場合、エンドポイントがエンドポイント認証をサポートしていなくても障害は生成されません。

  • [無効(Disabled)] - このオプションを選択した場合、エンドポイント認証の失敗に対して障害は生成されません。

次のタスク

デバイスの構成証明が失敗した場合に障害が生成された場合、[ナビゲーション(Navigation)] ペインの [シャーシ(Chassis)] メニューの [障害とログ(Faults and Logs)] タブで、それぞれの障害の詳細を表示できます。

SPDM 認証 ステータスの表示

次の手順を実行すると、SPDM 認証ステータスと SPDM 証明書チェーンを表示できます。

始める前に


(注)  

一部の C シリーズ サーバでのみ有効になります。

手順

  コマンドまたはアクション 目的

ステップ 1

[ナビゲーション(Navigation)] ペインで [管理(Admin)] メニューをクリックします。

ステップ 2

[管理(Admin)]メニューで [セキュリティ管理(Security Management)]をクリックします。

ステップ 3

[セキュリティ管理(Security Management)] タブ > [MCTP SPDM] タブ > [アクション(Actions)] エリアで、次の詳細を表示できます。

  • [証明書のアップロードの進行状況(Certificate Upload Progress)] - 証明書のアップロードの進行状況を表示します。

  • [証明書のアップロードのステータス(Certificate Upload Status)] - 証明書のアップロードのステータスを表示します。

  • [SPDM ステータス(SPDM Status)] - SDPM 認証ステータス全体を表示します。

認証局証明書の追加

始める前に


(注)  

一部の C シリーズ サーバでのみ有効になります。

手順

ステップ 1

[ナビゲーション(Navigation)] ペインで [管理(Admin)] メニューをクリックします。

ステップ 2

[管理(Admin)]メニューで [セキュリティ管理(Security Management)]をクリックします。

ステップ 3

[セキュリティ管理(Security Management)] タブ > [証明書(Certificates)] エリア内で [認証局(Authorities)] タブをクリックします。

ステップ 4

権限タブで、[追加(Add)] アイコンをクリックします。

[機関証明書の追加(Add Authorities Certificate)] ダイアログ ボックスが表示されます。

ステップ 5

次のいずれかのオプションを選択して、認証局の証明書を追加します。

  • [当局証明書の貼り付け(Paste Authorities Certificate)] を選択します。

    ホストから当局証明書をコピーし、テキスト フィールドにキーを貼り付けます。

  • [ローカルからアップロード (Upload from local)] を選択します。

    [参照(Browse)] をクリックして、追加する認証局証明書ファイルの場所に移動します。

  • [リモートの場所からアップロード (Upload from remote location)] を選択します。

    次の詳細情報を入力して、リモート ロケーションから当局証明書ファイルをアップロードします。

    名前 説明

    ドロップダウン リストから当局証明書をアップロード

    リモート サーバーのタイプ。次のいずれかになります。

    • TFTP

    • FTP

    • SCP

    • SFTP

    • HTTP

    (注)  

     

    FTP、SCP または SFTP を選択した場合は、ユーザ名とパスワードの入力が求められます。

    [サーバIP/ホスト名(Server IP/Hostname)] フィールド

    当局証明書ファイルが使用可能なサーバーの IP アドレスまたはホスト名

    [Path and Filename] フィールド

    リモート サーバー上の当局証明書 ファイルのパスとファイル名。

ステップ 6

[認証局証明書のアップロード(Upload Authorities Certificate)] をクリックします。

MCTP SPDM タブの次のフィールドから、アップロードの進行状況とステータスを表示できます。

  • 証明書のアップロードの進行状況

  • 証明書のアップロードステータス

アップロードが完了して成功すると、認証局の証明書がアップロードされ、詳細が [認証局(Authorities)] タブに表示されます。

証明書および証明書の詳細のリストを表示する

始める前に


(注)  

一部の C シリーズ サーバでのみ有効になります。

手順

  コマンドまたはアクション 目的

ステップ 1

[ナビゲーション(Navigation)] ペインで [管理(Admin)] メニューをクリックします。

ステップ 2

[管理(Admin)]メニューで [セキュリティ管理(Security Management)]をクリックします。

ステップ 3

[セキュリティ管理(Security Management)] タブ > MCTP SPDM タブ > [証明書(Certificates)] エリア内で [エンドポイント(Endpoints)] タブをクリックします。

エンドポイントのリストには、次の詳細が表示されます:

  • [共通名(Common Name)] - エンドポイントのルート CA 証明書の共通名を表示します。

  • [エンドポイント 識別子(Endpoint ID)] - PCIe スロット識別子を表示します。

  • [ステータス(Status)] - エンドポイントの最終的な SPDM ハンドシェイク ステータスを表示します。

ステップ 4

[セキュリティ管理(Security Management)] タブ > MCTP SPDM タブ > [証明書(Certificates)] エリア内で [認証局(Authorities)] タブをクリックします。

アップロードされた SPDM ルート CA 証明書のリストが、次の詳細とともに表示されます。

  • [共通名(Common Name)] - 機関証明書の共通名を表示します。

  • [発行者(Issued By)] - 認証局証明書の発行者の詳細を表示します。

  • [有効期限(Expires)] - 認証局の証明書の有効性を表示します。

(注)  

 

工場から出荷される証明書の横にロック アイコンが表示されます。ロック アイコンのある証明書を削除することはできません。

ステップ 5

特定の証明書の詳細を表示するには、次の手順を行います:

  1. [認証局(Authorities)] タブ内で表の任意の行のチェック ボックスを選択します。

  2. エンドポイント証明書の詳細を表示するには [表示(View)] アイコンをクリックします。

    [証明書の表示(View Certificate)] ダイアログ ボックスに、認証局証明書の次の詳細が表示されます。

証明書の削除

始める前に


(注)  

一部の C シリーズ サーバでのみ有効になります。

手順

  コマンドまたはアクション 目的

ステップ 1

[ナビゲーション(Navigation)] ペインで [管理(Admin)] メニューをクリックします。

ステップ 2

[管理(Admin)]メニューで [セキュリティ管理(Security Management)]をクリックします。

ステップ 3

[セキュリティ管理(Security Management)] タブ > MCTP SPDM タブ > [証明書(Certificates)] エリア内で [認証局(Authorities)] タブをクリックします。

ステップ 4

[認証局(Authorities)] タブ内で表の任意の行のチェック ボックスを選択します。

(注)  

 

工場から出荷される証明書の横にロック アイコンが表示されます。ロック アイコンのある証明書を削除することはできません。

ステップ 5

エンドポイント証明書を削除するには、[削除(Delete)] アイコンをクリックします。

ポップウィンドウに次のメッセージが表示されます:

証明書が正常に削除されました。CIMC はすべてのデバイスを再認証します。

ステップ 6

[OK] をクリックします。

キー管理相互運用性プロトコル

キー管理相互運用性プロトコル(KMIP)は、主要な管理サーバーでキーまたは機密データを処理するためのメッセージ形式を定義する通信プロトコルです。KMIP はオープン スタンダードで、複数のベンダーによってサポートされています。キー管理には、複数の相互運用可能な実装が伴うため、KMIP クライアントは KMIP サーバーと効率的に連動します。

自己暗号化ドライブ(SED)には、リアルタイムで着信データを暗号化し、発信データを復号するハードウェアが含まれています。ドライブまたはメディア暗号化キーは、この機能を制御します。しかし、セキュリティを維持するために、ドライブはロックされている必要があります。セキュリティ キー ID とセキュリティ キー(キー暗号キー)を使用すると、この目的を達成できます。キー ID では、ドライブに一意の ID が提供されます。

異なるキーには異なる使用要件があります。現在、ローカル キーの管理および追跡の責任は主にユーザーにあるため、人的ミスが生じる可能性があります。ユーザーはさまざまなキーとそれらの機能を覚えている必要があり、それが困難な場合があります。KMIP は、この懸念領域に対処し、人的関与なしでキーを効率的に管理します。

セキュアなキー管理設定の表示

手順

ステップ 1

[ナビゲーション(Navigation)] ペインの [管理(Admin)] メニューをクリックします。

ステップ 2

[管理(Admin)]メニューで [セキュリティ管理(Security Management)]をクリックします。

ステップ 3

[セキュリティ管理(Security Management)]ペインで [セキュア キーの管理(Secure Key Management)]をクリックします。

ステップ 4

[Work] ペインで、次の情報を確認します。

名前 説明

[セキュア キー管理の有効化(Enable Secure Key Management)] チェックボックス

このチェックボックスをオンにすると、セキュア キーの管理機能を有効にできます。

ステップ 5

[Actions] 領域で、次の情報を確認します。

名前 説明

[ルート CA 証明書のダウンロード(Download Root CA Certificate)] リンク

このリンクを使用して、ルート CA 証明書を Cisco IMC にダウンロードできます。

[ルート CA 証明書のエクスポート(Export Root CA Certificate)] リンク

このリンクを使用して、ダウンロードしたルート CA 証明書をローカル ファイルまたはリモート サーバにエクスポートできます。

[ルート CA 証明書の削除(Delete Root CA Certificate)] リンク

このリンクを使用して、ルート CA 証明書を削除できます。

[クライアント証明書のダウンロード(Download Client Certificate)] リンク

このリンクを使用して、クライアント証明書を Cisco IMC にダウンロードできます。

[クライアント証明書のエクスポート(Export Client Certificate)] リンク

このリンクを使用して、ダウンロードしたクライアント証明書をローカル ファイルまたはリモート サーバにエクスポートできます。

[クライアント証明書の削除(Delete Client Certificate)] リンク

このリンクを使用して、クライアント証明書を削除できます。

[クライアント秘密鍵のダウンロード(Download Client Private Key)] リンク

このリンクを使用して、クライアント秘密鍵を Cisco IMC にダウンロードできます。

[クライアント秘密鍵のエクスポート(Export Client Private Key)] リンク

このリンクを使用して、ダウンロードしたルート CA 証明書をローカル ファイルまたはリモート サーバにエクスポートできます。

[クライアント秘密鍵の削除(Delete Client Private Key)] リンク

このリンクを使用して、ルート CA 証明書を削除できます。

[KMIP ログインの削除(Delete KMIP Login)] リンク

このリンクを使用して、KMIP ログイン詳細を削除できます。

ステップ 6

[KMIP サーバー(KMIP Servers)] 領域で、次のフィールドを確認します。

名前 説明

[ID] フィールド

KMIP サーバ設定の ID。

[IPアドレス(IP Address)] フィールド

KMIP サーバの IP アドレス。

[ポート(Port)] フィールド

KMIP サーバとの通信ポート。

[タイムアウト(Timeout)] フィールド

Cisco IMC が KMIP サーバからの応答を待機する時間。

[削除(Delete)] ボタン

KMIP サーバ設定を削除します。

[テスト接続(Test Connection)] ボタン

KMIP 接続が成功したかどうかをテストします。

ステップ 7

[KMIP Root CA Certificate] 領域で、次のフィールドを確認します。

名前 説明

[サーバ ルート CA 証明書(Server Root CA Certificate)] フィールド

ルート CA 証明書の可用性を示します。

[ダウンロード ステータス(Download Status)] フィールド

このフィールドには、ルート CA 証明書のダウンロード ステータスが表示されます。

[ダウンロード中(Download Progress)] フィールド

このフィールドには、ルート CA 証明書ダウンロードの進行状況が表示されます。

[エクスポート ステータス(Export Status)] フィールド

このフィールドには、ルート CA 証明書のエクスポート ステータスが表示されます。

[エクスポート中(Export Progress)] フィールド

このフィールドには、ルート CA 証明書エクスポートの進行状況が表示されます。

ステップ 8

[KMIP Client Certificate] 領域で、次のフィールドを確認します。

名前 説明

[クライアント証明書(Client Certificate)] フィールド

クライアント証明書の可用性を示します。

[ダウンロード ステータス(Download Status)] フィールド

このフィールドには、クライアント証明書のダウンロード ステータスが表示されます。

[ダウンロード中(Download Progress)] フィールド

このフィールドには、クライアント証明書ダウンロードの進行状況が表示されます。

[エクスポート ステータス(Export Status)] フィールド

このフィールドには、クライアント証明書のエクスポート ステータスが表示されます。

[エクスポート中(Export Progress)] フィールド

このフィールドには、クライアント証明書エクスポートの進行状況が表示されます。

ステップ 9

[KMIP Login Details] 領域で、次のフィールドを確認します。

名前 説明

[KMIP ログインの使用(Use KMIP Login)] チェックボックス

KMIP ログインの詳細を使用するかどうかを選択できます。

[KMIP サーバへのログイン名(Login name to KMIP Server)] フィールド

KMIP サーバのユーザ名。

[KMIP サーバへのパスワード(Password to KMIP Server)] フィールド

KMIP サーバのパスワード。

[パスワードの変更(Change Password)] チェックボックス

KMIP パスワードを変更できます。

[新しいパスワード(New Password)] フィールド

KMIP サーバに割り当てる新しいパスワードを入力できます。

(注)  

 

このオプションは、[Change Password] チェックボックスを有効にしている場合にのみ表示されます。

[パスワードの確認(Confirm Password)] フィールド

このフィールドにもう一度新しいパスワードを入力します。

(注)  

 

このオプションは、[Change Password] チェックボックスを有効にしている場合にのみ表示されます。

ステップ 10

[KMIP Client Private Key] 領域で、次のフィールドを確認します。

名前 説明

[クライアント秘密鍵(Client Private Key)] フィールド

クライアント秘密鍵の可用性を示します。

[ダウンロード ステータス(Download Status)] フィールド

このフィールドには、クライアント秘密鍵のダウンロード ステータスが表示されます。

[ダウンロード中(Download Progress)] フィールド

このフィールドには、クライアント秘密鍵ダウンロードの進行状況が表示されます。

[エクスポート ステータス(Export Status)] フィールド

このフィールドには、クライアント秘密鍵のエクスポート ステータスが表示されます。

[エクスポート中(Export Progress)] フィールド

このフィールドには、クライアント秘密鍵エクスポートの進行状況が表示されます。

KMIP 設定のクライアント秘密キーおよびクライアント証明書の作成

パブリック認証局(CA)を使用してサーバ証明書の生成と署名を行う代わりに、独自の CA を運用して独自の証明書に署名することができます。このセクションでは、Linux で実行されている OpenSSL 証明書サーバーを使用して CA を作成するコマンドおよびサーバー証明書を生成するコマンドについて説明します。OpenSSL の詳細については、http://www.openssl.org を参照してください。

(注)  

これらのコマンドは、Cisco IMC ではなく、OpenSSL パッケージを使用している Linux サーバーで入力します。

始める前に

  • 組織内のサーバで、証明書サーバのソフトウェア パッケージを取得してインストールします。

  • Cisco IMC の時刻が現在の時刻に設定されていることを確認します。

手順

  コマンドまたはアクション 目的

ステップ 1

openssl genrsa -out Client_Privatekeyfilename keysize

例:

# openssl genrsa –out client_private.pem 2048

このコマンドは、クライアント証明書の生成に使用されるクライアント秘密キーを生成します。

指定されたファイル名には、指定されたサイズの RSA キーが含まれています。

ステップ 2

openssl req -new -x509 -days numdays -key Client_Privatekeyfilename -out Client_certfilename

例:

# openssl req -new -x509 -key client_private.pem -out client.pem -days 365

このコマンドは、前の手順で入手したクライアント秘密キーを使用して、新しい自己署名クライアント証明書を生成します。証明書は指定された期間有効になります。このコマンドは、ユーザに証明書の追加情報を求めるプロンプトを表示します。

新しい自己署名クライアント証明書が作成されます。

ステップ 3

KMIP サーバーから KMIP ルート CA 証明書を取得します。

ルート CA 証明書の取得については、KMIP のベンダー マニュアルを参照してください。

次のタスク

新しい証明書を Cisco IMC にアップロードします。

クライアント証明書のダウンロード

手順

ステップ 1

[ナビゲーション(Navigation)] ペインの [管理(Admin)] メニューをクリックします。

ステップ 2

[管理(Admin)]メニューで [セキュリティ管理(Security Management)]をクリックします。

ステップ 3

[セキュリティ管理(Security Management)]ペインで [セキュア キーの管理(Secure Key Management)]をクリックします。

ステップ 4

[Secure Key Management] タブの [Actions] 領域で、[Download Client Certificate] をクリックします。

ステップ 5

[Download Client Certificate] ダイアログボックスで、次のフィールドに値を入力します。

名前 説明

[リモート ロケーションからダウンロード(Download From Remote Location)] オプション ボタン

このオプションを選択することで、証明書をリモートの場所から選択してダウンロードできます。次の詳細を入力します。

    • [TFTP サーバー(TFTP Server)]

    • FTP サーバー(FTP Server)

    • SFTP サーバー(SFTP Server)

    • SCP サーバー(SCP Server)

    • HTTP サーバー(HTTP Server)

    (注)  

     

    このアクションを実行中にリモート サーバのタイプとして SCP または SFTP を選択した場合、ポップアップ ウィンドウが表示され、そこに [サーバ(RSA)鍵フィンガープリントは <server_finger_print _ID> です。続行しますか?(Server (RSA) key fingerprint is <server_finger_print _ID> Do you wish to continue?)] というメッセージが表示されます。サーバ フィンガープリントの信頼度に応じて、[Yes] または [No] をクリックします。

    フィンガープリントはホストの公開キーをベースにしており、接続先ホストの特定や確認に利用できます。

  • [サーバー IP/ホスト名(Server IP/Hostname)] フィールド:クライアント証明書ファイルを保管するサーバーの IP アドレスまたはホスト名。[Download Certificate from] ドロップダウン リストの設定によって、このフィールドの名前は異なる場合があります。

  • [Path and Filename] フィールド:リモート サーバーにファイルをダウンロードする際に Cisco IMC に使用する必要があるパスおよびファイル名。

  • [Username] フィールド:システムがリモート サーバーにログインする際に使用するユーザー名。このフィールドは、プロトコルが TFTP または HTTP の場合は適用されません。

  • [パスワード(Password)] フィールド:リモート サーバーのユーザー名に対応するパスワード。このフィールドは、プロトコルが TFTP または HTTP の場合は適用されません。

[ブラウザ クライアントによるダウンロード(Download Through Browser Client)] オプション ボタン

このオプションを選択することで、Cisco IMC GUI を実行しているコンピュータのローカル ドライブに保管されている証明書に移動できます。

このオプションを選択すると、Cisco IMC GUI に、インポートするファイルに移動するために使用できる [参照(Browse)] ボタンが表示されます。

[内容を貼り付け(Paste Content)] オプション ボタン

このオプションを選択すると、署名付き証明書の内容全体をコピーして、[証明書の内容の貼り付け(Paste Certificate Content)] テキスト フィールドに貼り付けることができます。

(注)  

 

アップロードの前に、証明書に署名が付されていることを確認します。

クライアント証明書のエクスポート

手順

ステップ 1

[ナビゲーション(Navigation)] ペインの [管理(Admin)] メニューをクリックします。

ステップ 2

[管理(Admin)]メニューで [セキュリティ管理(Security Management)]をクリックします。

ステップ 3

[セキュリティ管理(Security Management)]ペインで [セキュア キーの管理(Secure Key Management)]をクリックします。

ステップ 4

[Secure Key Management] タブの [Actions] 領域で、[Export Client Certificate] をクリックします。

ステップ 5

[Export Client Certificate] ダイアログボックスで、次のフィールドに値を入力します。

名前

説明

[Export to Remote Location]

このオプションを選択すると、リモート ロケーションの証明書を選択してエクスポートできます。次の詳細を入力します。

    • [TFTP サーバー(TFTP Server)]

    • FTP サーバー(FTP Server)

    • SFTP サーバー(SFTP Server)

    • SCP サーバー(SCP Server)

    • HTTP サーバー(HTTP Server)

    (注)  

     

    このアクションを実行中にリモート サーバのタイプとして SCP または SFTP を選択した場合、ポップアップ ウィンドウが表示され、そこに [サーバ(RSA)鍵フィンガープリントは <server_finger_print _ID> です。続行しますか?(Server (RSA) key fingerprint is <server_finger_print _ID> Do you wish to continue?)] というメッセージが表示されます。サーバ フィンガープリントの信頼度に応じて、[Yes] または [No] をクリックします。

    フィンガープリントはホストの公開キーをベースにしており、接続先ホストの特定や確認に利用できます。

  • [サーバー IP/ホスト名(Server IP/Hostname)] フィールド:証明書ファイルをエクスポートするサーバーの IP アドレスまたはホスト名。[Download Certificate from] ドロップダウン リストの設定によって、このフィールドの名前は異なる場合があります。

  • [パスおよびファイル名(Path and Filename)] フィールド:リモート サーバから証明書をダウンロードする際に Cisco IMC が使用するパスとファイル名。

  • [Username] フィールド:システムがリモート サーバーにログインする際に使用するユーザー名。このフィールドは、プロトコルが TFTP または HTTP の場合は適用されません。

  • [パスワード(Password)] フィールド:リモート サーバーのユーザー名に対応するパスワード。このフィールドは、プロトコルが TFTP または HTTP の場合は適用されません。

[Export to Local File]

このオプションを選択することで、コンピュータのローカル ドライブに保管されている証明書を選択してエクスポートできます。

クライアント証明書の削除

手順

ステップ 1

[ナビゲーション(Navigation)] ペインの [管理(Admin)] メニューをクリックします。

ステップ 2

[管理(Admin)]メニューで [セキュリティ管理(Security Management)]をクリックします。

ステップ 3

[セキュリティ管理(Security Management)]ペインで [セキュア キーの管理(Secure Key Management)]をクリックします。

ステップ 4

[Secure Key Management] タブの [Actions] 領域で、[Delete Client Certificate] をクリックします。

ステップ 5

プロンプトで、[OK] をクリックしてクライアント証明書を削除するか、または [Cancel] をクリックして操作をキャンセルします。

ルート CA 証明書のダウンロード

手順

ステップ 1

[ナビゲーション(Navigation)] ペインの [管理(Admin)] メニューをクリックします。

ステップ 2

[管理(Admin)]メニューで [セキュリティ管理(Security Management)]をクリックします。

ステップ 3

[セキュリティ管理(Security Management)]ペインで [セキュア キーの管理(Secure Key Management)]をクリックします。

ステップ 4

[Secure Key Management] タブの [Actions] 領域で、[Download Root CA Certificate] をクリックします。

ステップ 5

[Download Root CA Certificate] ダイアログボックスで、次のフィールドに値を入力します。

名前 説明

[リモート ロケーションからダウンロード(Download From Remote Location)] オプション ボタン

このオプションを選択することで、証明書をリモートの場所から選択してダウンロードできます。次の詳細を入力します。

    • [TFTP サーバー(TFTP Server)]

    • FTP サーバー(FTP Server)

    • SFTP サーバー(SFTP Server)

    • SCP サーバー(SCP Server)

    • HTTP サーバー(HTTP Server)

    (注)  

     

    このアクションを実行中にリモート サーバのタイプとして SCP または SFTP を選択した場合、ポップアップ ウィンドウが表示され、そこに [サーバ(RSA)鍵フィンガープリントは <server_finger_print _ID> です。続行しますか?(Server (RSA) key fingerprint is <server_finger_print _ID> Do you wish to continue?)] というメッセージが表示されます。サーバ フィンガープリントの信頼度に応じて、[Yes] または [No] をクリックします。

    フィンガープリントはホストの公開キーをベースにしており、接続先ホストの特定や確認に利用できます。

  • [サーバー IP/ホスト名(Server IP/Hostname)] フィールド:ルート CA 証明書ファイルを保管するサーバーの IP アドレスまたはホスト名。[Download Certificate from] ドロップダウン リストの設定によって、このフィールドの名前は異なる場合があります。

  • [Path and Filename] フィールド:リモート サーバーにファイルをダウンロードする際に Cisco IMC に使用する必要があるパスおよびファイル名。

  • [Username] フィールド:システムがリモート サーバーにログインする際に使用するユーザー名。このフィールドは、プロトコルが TFTP または HTTP の場合は適用されません。

  • [パスワード(Password)] フィールド:リモート サーバーのユーザー名に対応するパスワード。このフィールドは、プロトコルが TFTP または HTTP の場合は適用されません。

[ブラウザ クライアントによるダウンロード(Download Through Browser Client)] オプション ボタン

このオプションを選択することで、Cisco IMC GUI を実行しているコンピュータのローカル ドライブに保管されている証明書に移動できます。

このオプションを選択すると、Cisco IMC GUI に、インポートするファイルに移動するために使用できる [参照(Browse)] ボタンが表示されます。

[内容を貼り付け(Paste Content)] オプション ボタン

このオプションを選択すると、署名付き証明書の内容全体をコピーして、[証明書の内容の貼り付け(Paste Certificate Content)] テキスト フィールドに貼り付けることができます。

(注)  

 

アップロードの前に、証明書に署名が付されていることを確認します。

ルート CA 証明書のエクスポート

手順

ステップ 1

[ナビゲーション(Navigation)] ペインの [管理(Admin)] メニューをクリックします。

ステップ 2

[管理(Admin)]メニューで [セキュリティ管理(Security Management)]をクリックします。

ステップ 3

[セキュリティ管理(Security Management)]ペインで [セキュア キーの管理(Secure Key Management)]をクリックします。

ステップ 4

[Secure Key Management] タブの [Actions] 領域で、[Export Root CA Certificate] をクリックします。

ステップ 5

[Export Root CA Certificate] ダイアログボックスで、次のフィールドに値を入力します。

名前

説明

[Export to Remote Location]

このオプションを選択すると、リモート ロケーションの証明書を選択してエクスポートできます。次の詳細を入力します。

    • [TFTP サーバー(TFTP Server)]

    • FTP サーバー(FTP Server)

    • SFTP サーバー(SFTP Server)

    • SCP サーバー(SCP Server)

    • HTTP サーバー(HTTP Server)

    (注)  

     

    このアクションを実行中にリモート サーバのタイプとして SCP または SFTP を選択した場合、ポップアップ ウィンドウが表示され、そこに [サーバ(RSA)鍵フィンガープリントは <server_finger_print _ID> です。続行しますか?(Server (RSA) key fingerprint is <server_finger_print _ID> Do you wish to continue?)] というメッセージが表示されます。サーバ フィンガープリントの信頼度に応じて、[Yes] または [No] をクリックします。

    フィンガープリントはホストの公開キーをベースにしており、接続先ホストの特定や確認に利用できます。

  • [サーバー IP/ホスト名(Server IP/Hostname)] フィールド:証明書ファイルをエクスポートするサーバーの IP アドレスまたはホスト名。[Download Certificate from] ドロップダウン リストの設定によって、このフィールドの名前は異なる場合があります。

  • [パスおよびファイル名(Path and Filename)] フィールド:リモート サーバから証明書をダウンロードする際に Cisco IMC が使用するパスとファイル名。

  • [Username] フィールド:システムがリモート サーバーにログインする際に使用するユーザー名。このフィールドは、プロトコルが TFTP または HTTP の場合は適用されません。

  • [パスワード(Password)] フィールド:リモート サーバーのユーザー名に対応するパスワード。このフィールドは、プロトコルが TFTP または HTTP の場合は適用されません。

[Export to Local File]

このオプションを選択することで、コンピュータのローカル ドライブに保管されている証明書を選択してエクスポートできます。

ルート CA 証明書の削除

手順

ステップ 1

[ナビゲーション(Navigation)] ペインの [管理(Admin)] メニューをクリックします。

ステップ 2

[管理(Admin)]メニューで [セキュリティ管理(Security Management)]をクリックします。

ステップ 3

[セキュリティ管理(Security Management)]ペインで [セキュア キーの管理(Secure Key Management)]をクリックします。

ステップ 4

[Secure Key Management] タブの [Actions] 領域で、[Delete Root CA Certificate] をクリックします。

ステップ 5

プロンプトで、[OK] をクリックしてルート CA 証明書を削除するか、または [Cancel] をクリックして操作をキャンセルします。

クライアント秘密キーのダウンロード

手順

ステップ 1

[ナビゲーション(Navigation)] ペインの [管理(Admin)] メニューをクリックします。

ステップ 2

[管理(Admin)]メニューで [セキュリティ管理(Security Management)]をクリックします。

ステップ 3

[セキュリティ管理(Security Management)]ペインで [セキュア キーの管理(Secure Key Management)]をクリックします。

ステップ 4

[Secure Key Management] タブの [Actions] 領域で、[Download Client Private Key] をクリックします。

ステップ 5

[Download Client Private Key] ダイアログボックスで、次のフィールドに値を入力します。

名前 説明

[リモート ロケーションからダウンロード(Download From Remote Location)] オプション ボタン

このオプションを選択すると、リモート ロケーションにある秘密鍵を選択してダウンロードできます。次の詳細を入力します。

    • [TFTP サーバー(TFTP Server)]

    • FTP サーバー(FTP Server)

    • SFTP サーバー(SFTP Server)

    • SCP サーバー(SCP Server)

    • HTTP サーバー(HTTP Server)

    (注)  

     

    このアクションを実行中にリモート サーバのタイプとして SCP または SFTP を選択した場合、ポップアップ ウィンドウが表示され、そこに [サーバ(RSA)鍵フィンガープリントは <server_finger_print _ID> です。続行しますか?(Server (RSA) key fingerprint is <server_finger_print _ID> Do you wish to continue?)] というメッセージが表示されます。サーバ フィンガープリントの信頼度に応じて、[Yes] または [No] をクリックします。

    フィンガープリントはホストの公開キーをベースにしており、接続先ホストの特定や確認に利用できます。

  • [サーバー IP/ホスト名(Server IP/Hostname)] フィールド:クライアント秘密キーを保管するサーバーの IP アドレスまたはホスト名。[Download Certificate From] ドロップダウン リストの設定によって、このフィールドの名前は異なる場合があります。

  • [Path and Filename] フィールド:リモート サーバーにファイルをダウンロードする際に Cisco IMC に使用する必要があるパスおよびファイル名。

  • [Username] フィールド:システムがリモート サーバーにログインする際に使用するユーザー名。このフィールドは、プロトコルが TFTP または HTTP の場合は適用されません。

  • [パスワード(Password)] フィールド:リモート サーバーのユーザー名に対応するパスワード。このフィールドは、プロトコルが TFTP または HTTP の場合は適用されません。

[ブラウザ クライアントによるダウンロード(Download Through Browser Client)] オプション ボタン

このオプションを選択すると、Cisco IMC GUI を実行しているコンピュータのローカル ドライブ上に保管されている秘密鍵に移動できます。

このオプションを選択すると、Cisco IMC GUI に、インポートするファイルに移動するために使用できる [参照(Browse)] ボタンが表示されます。

[内容を貼り付け(Paste Content)] オプション ボタン

このオプションを選択すると、署名付き秘密鍵の内容全体をコピーして、[秘密鍵の内容の貼り付け(Paste Private Key Content)] テキスト フィールドに貼り付けることができます。

次のタスク

クライアント秘密キーのエクスポート

手順

ステップ 1

[ナビゲーション(Navigation)] ペインの [管理(Admin)] メニューをクリックします。

ステップ 2

[管理(Admin)]メニューで [セキュリティ管理(Security Management)]をクリックします。

ステップ 3

[セキュリティ管理(Security Management)]ペインで [セキュア キーの管理(Secure Key Management)]をクリックします。

ステップ 4

[Secure Key Management] タブの [Actions] 領域で、[Export Client Private Key] をクリックします。

ステップ 5

[Export Client Private Key] ダイアログボックスで、次のフィールドに値を入力します。

名前

説明

[Export to Remote Location]

このオプションを選択すると、リモート ロケーションの証明書を選択してエクスポートできます。次の詳細を入力します。

    • [TFTP サーバー(TFTP Server)]

    • FTP サーバー(FTP Server)

    • SFTP サーバー(SFTP Server)

    • SCP サーバー(SCP Server)

    • HTTP サーバー(HTTP Server)

    (注)  

     

    このアクションを実行中にリモート サーバのタイプとして SCP または SFTP を選択した場合、ポップアップ ウィンドウが表示され、そこに [サーバ(RSA)鍵フィンガープリントは <server_finger_print _ID> です。続行しますか?(Server (RSA) key fingerprint is <server_finger_print _ID> Do you wish to continue?)] というメッセージが表示されます。サーバ フィンガープリントの信頼度に応じて、[Yes] または [No] をクリックします。

    フィンガープリントはホストの公開キーをベースにしており、接続先ホストの特定や確認に利用できます。

  • [サーバー IP/ホスト名(Server IP/Hostname)] フィールド:証明書ファイルをエクスポートするサーバーの IP アドレスまたはホスト名。[Download Certificate from] ドロップダウン リストの設定によって、このフィールドの名前は異なる場合があります。

  • [パスおよびファイル名(Path and Filename)] フィールド:リモート サーバから証明書をダウンロードする際に Cisco IMC が使用するパスとファイル名。

  • [Username] フィールド:システムがリモート サーバーにログインする際に使用するユーザー名。このフィールドは、プロトコルが TFTP または HTTP の場合は適用されません。

  • [パスワード(Password)] フィールド:リモート サーバーのユーザー名に対応するパスワード。このフィールドは、プロトコルが TFTP または HTTP の場合は適用されません。

[Export to Local File]

このオプションを選択することで、コンピュータのローカル ドライブに保管されている証明書を選択してエクスポートできます。

クライアント秘密キーの削除

手順

ステップ 1

[ナビゲーション(Navigation)] ペインの [管理(Admin)] メニューをクリックします。

ステップ 2

[管理(Admin)]メニューで [セキュリティ管理(Security Management)]をクリックします。

ステップ 3

[セキュリティ管理(Security Management)]ペインで [セキュア キーの管理(Secure Key Management)]をクリックします。

ステップ 4

[Secure Key Management] ペインの [Actions] 領域で、[Delete Client Private Key] をクリックします。

ステップ 5

プロンプトで、[OK] をクリックしてクライアント秘密キーを削除するか、または [Cancel] をクリックして操作をキャンセルします。

KMIP サーバー接続のテスト

手順

ステップ 1

[ナビゲーション(Navigation)] ペインの [管理(Admin)] メニューをクリックします。

ステップ 2

[管理(Admin)]メニューで [セキュリティ管理(Security Management)]をクリックします。

ステップ 3

[セキュリティ管理(Security Management)]ペインで [セキュア キーの管理(Secure Key Management)]をクリックします。

ステップ 4

[Secure Key Management] タブの [KMIP Servers] 領域で、チェックボックスをオンにすることで行を選択し、[Test Connection] をクリックします。

ステップ 5

接続に成功すると、成功メッセージが表示されます。

KMIP サーバーのデフォルト設定への復元

手順

ステップ 1

[ナビゲーション(Navigation)] ペインの [管理(Admin)] メニューをクリックします。

ステップ 2

[管理(Admin)]メニューで [セキュリティ管理(Security Management)]をクリックします。

ステップ 3

[セキュリティ管理(Security Management)]ペインで [セキュア キーの管理(Secure Key Management)]をクリックします。

ステップ 4

[Secure Key Management] タブの [KMIP Servers] 領域で、チェックボックスをオンにすることで行を選択し、[Delete] をクリックします。

ステップ 5

プロンプトで [OK] をクリックします。

これで、KMIP サーバーがデフォルト設定に復元されます。

KMIP ログイン詳細の削除

手順

ステップ 1

[ナビゲーション(Navigation)] ペインの [管理(Admin)] メニューをクリックします。

ステップ 2

[管理(Admin)]メニューで [セキュリティ管理(Security Management)]をクリックします。

ステップ 3

[セキュリティ管理(Security Management)]ペインで [セキュア キーの管理(Secure Key Management)]をクリックします。

ステップ 4

[Secure Key Management] ペインの [Actions] 領域で、[Delete KMIP Login] をクリックします。

ステップ 5

プロンプトで、[OK] をクリックして KMIP ログインの詳細を削除するか、または [Cancel] をクリックして操作をキャンセルします。

Cisco IMC での FIPS 140-2 の準拠

Federal Information Processing Standard(FIPS)パブリケーション 140-2 は、暗号モジュールの認定に使用される米国政府のコンピュータ セキュリティ標準です3.1(3) リリースでは、ラック Cisco IMC は NIST ガイドラインに従った FIPS 対応ではありません。これは FIPS 140-2 で承認された暗号化アルゴリズムとモジュールに従っていません。このリリースで、すべての CIMC サービスは、Cisco FIPS オブジェクト モジュール(FOM)を使用します。これにより、FIPS 140-2 に準拠した暗号化モジュールが提供されます。

Cisco FIPS オブジェクト モジュールは、Cisco の広範なネットワー キング製品およびコラボレーション製品に暗号化サービスを提供するソフトウェア ライブラリです。モジュールは、IPSec(IKE)、SRTP、SSH、TLS、SNMP などのサービスに対して、FIPS 140 の検証済みの暗号化アルゴリズムと KDF 機能を提供します。

セキュリティ設定の有効化

始める前に

このタスクを実行するには、admin 権限を持つユーザーとしてログインする必要があります。

手順

ステップ 1

[ナビゲーション(Navigation)] ペインの [管理(Admin)] メニューをクリックします。

ステップ 2

[管理(Admin)]メニューで [セキュリティ管理(Security Management)]をクリックします。

ステップ 3

[セキュリティ管理(Security Management)] ペインで、[セキュリティ設定(Security Configuration)] をクリックします。

ステップ 4

[連邦情報処理標準設定(FIPS)とコモンクライテリア(CC)設定(Federal Information Processing Standard Configuration (FIPS) and Common Criteria (CC) Configuration)] ペインで、 [FIPS の有効化(Enable FIPS)] チェック ボックスをオンにします。

表 1. 連邦情報処理標準(FIPS)およびコモンクライテリア(CC)の構成
名前 説明

[FIPSの有効化(Enable FIP Mode)] チェックボックス

オンにすると、FIPS 機能を有効にすることができます。デフォルトでは、このオプションは無効になっています。

FIPS を有効にすると、SNMP 設定に次のような影響があります。

  • SNMPv2 プロトコル向けのコミュニティ文字列の設定、および [noAuthNoPriv] または [authNoPriv] が指定された SNMPv3 ユーザーのセキュリティ レベル オプションが無効になります。

  • [NoAuthNoPriv] のセキュリティ レベル オプションが指定された SNMPv2 または SNMPv3 ユーザー向けに設定されたトラップが無効になります。

  • [MD5] および [DES] 認証タイプおよびプライバシー タイプが無効になります。

    (注)  

     

    DES プライバシー タイプは、リリース 4.1(3b) 以降には適用されません。ただし、DES をリリース 4.1(3b) 以降にアップグレードする前に以前のリリースで構成されていた場合は、DES プライバシー タイプが表示される場合がありますが、FIPS が有効になっている場合は無効になります。

    (注)  

     

    [MD5] および [DES] 認証タイプとプライバシー タイプは、Cisco UCS M6 C シリーズ サーバーではサポートされていません。

  • また、SSH、Webサーバー、vKVM 接続で FIPS 準拠の暗号方式のみが使用されるようになります。

  • コモンクライテリアを有効にすることができます。

  • TACACS+認証を無効にします。

[CCの有効化(Enable CC)]

チェックボックス

(注)  

 

CCを有効化するには、FIPSを有効化する必要があります。

オンにすると、CC 機能を有効にすることができます。デフォルトでは、このオプションは無効になっています。

(注)  

 

[通信サービス(Communication Services)][TLS v1.2の有効化(Enable TLS v1.2)] チェックが無効になっている場合、CC を有効にすることはできません。

(注)  

 
FIPS モードまたは CC モードを切り替えると、SSH、KVM、SNMP、web サーバー、XMLAPI、および redfish サービスが再起動されます。続行するかどうかの確認を求められます。続行するには [OK] をクリック、そうでない場合は [キャンセル(Cancel)] をクリックします。

セキュリティ設定(FIPS)の有効化

始める前に

このタスクを実行するには、admin 権限を持つユーザとしてログインする必要があります。

手順

ステップ 1

[ナビゲーション(Navigation)] ペインの [管理(Admin)] メニューをクリックします。

ステップ 2

[管理(Admin)]メニューで [セキュリティ管理(Security Management)]をクリックします。

ステップ 3

[セキュリティ管理(Security Management)] ペインで、[セキュリティ設定(Security Configuration)] をクリックします。

ステップ 4

[ワーク(Work))] ペインで、[FIPSの有効化(Enable FIPS)] チェックボックスをオンにします。

(注)  

 
FIPS モードを切り替えると、SSH、KVM、SNMP、web サーバー、XMLAPI、および redfish サービスが再起動されます。

ステップ 5

続行するかどうかの確認を求められます。続行するには [OK] をクリック、そうでない場合は [キャンセル(Cancel)] をクリックします。

(注)  

 
FIPS を有効にすると、SNMP 設定に次のような影響があります。

  • SNMPv2 プロトコル向けのコミュニティ文字列の設定、および [noAuthNoPriv] または [authNoPriv] が指定された SNMPv3 ユーザーのセキュリティ レベル オプションが無効になります。

  • [NoAuthNoPriv] のセキュリティ レベル オプションが指定された SNMPv2 または SNMPv3 ユーザー向けに設定されたトラップが無効になります。

  • [MD5] および [DES] 認証タイプおよびプライバシー タイプが無効になります。

  • また、SSH、Webサーバー、KVM 接続で FIPS 準拠の暗号方式のみが使用されるようになります。