Users Guide

ManualsBrandsDell ManualsC SeriesPowerEdge R740xd

101

102

103

104

105

106

107

108

109

110

メモ: SSL 暗号化が 256 ビット以上および 168 ビット以上に設定されている場合、仮想マシン環境（JVM、IcedTea）に対す

る暗号化設定には、vConsole のような iDRAC プラグインの使用がそのような高いレベルの暗号化で許可されるように、

Unlimited Strength Java Cryptography Extension ポリシーファイルのインストールが必要になる場合があります。ポリシー

ファイルのインストールの詳細については、Java のマニュアルを参照してください。

iDRAC ウェブサーバには、デルの自己署名固有の SSL デジタル証明書がデフォルトで含まれています。デフォルトの SSL 証明書

は、よく知られた認証局（CA）によって署名された証明書に置き換えることができます。認証局とは、情報テクノロジ業界にお

いて、信頼のおける審査、識別、およびその他重要なセキュリティ基準の高い水準を満たしていると認識された事業体です。CA

の例としては Thawte や VeriSign などがあります。CA 署名証明書を取得するプロセスを開始するには、iDRAC ウェブインタフェ

ースまたは RACADM インタフェースを使用して、会社の情報で証明書署名要求（CSR）を生成します。その後、生成した CSR を

VerSign や Thawte などの CA に送信します。CA は、ルート CA または中間 CA になります。CA 署名 SSL 証明書を受信したら、こ

れを iDRAC にアップロードします。

各 iDRAC が管理ステーションによって信頼されるようにするには、iDRAC の SSL 証明書を管理ステーションの証明書ストアに配

置する必要があります。SSL 証明書が管理ステーションにインストールされると、サポートされるブラウザは、証明書警告を受け

ることなく iDRAC にアクセスできるようになります。

この機能のデフォルト署名証明書に頼らずに、カスタム署名証明書をアップロードして SSL 証明書に署名することもできます。1

つのカスタム署名証明書をすべての管理ステーションにインポートすると、カスタム署名証明書を使用するすべての iDRAC が信頼

されます。カスタム SSL 証明書がすでに使用されているときにカスタム署名証明書をアップロードすると、そのカスタム SSL 証

明書は無効になり、カスタム署名証明書で署名された 1 回限りの自動生成 SSL 証明書が使用されます。カスタム署名証明書はプ

ライベートキーなしでダウンロードできます。既存のカスタム署名証明書を削除することもできます。カスタム署名証明書を削除

すると、iDRAC はリセットされ、新しい自己署名 SSL 証明書が自動生成されます。自己署名証明書が再生成されると、iDRAC と

管理ステーション間で信頼関係を再確立する必要があります。自動生成された SSL 証明書は自己署名され、有効期限は 7 年と 1

日、開始日は 1 日前になります（管理ステーションと iDRAC でタイムゾーン設定が異なるため）。

iDRAC ウェブサーバの SSL 証明書は、証明書署名要求（CSR）の生成時に共通名（CN）の左端部分の一部としてアスタリスク

（*）をサポートします（たとえば、*.qa.com や *.company.qa.com）。これは、ワイルドカード証明書と呼ばれます。iDRAC 以外

でワイルドカード CSR が生成された場合は、1 つの署名済みワイルドカード SSL 証明書で複数の iDRAC にアップロードすること

ができ、すべての iDRAC はサポートされているブラウザによって信頼されます。ワイルドカード証明書をサポートしているブラウ

ザを使用して iDRAC ウェブインタフェースに接続する間、iDRAC はブラウザによって信頼されます。ビューアを起動すると、

iDRAC はビューアのクライアントによって信頼されます。

新しい証明書署名要求の生成

CSR は、SSL サーバ証明書の認証局（CA）へのデジタル要求です。SSL サーバ証明書によって、サーバのクライアントがサーバの

ID を信頼し、サーバとの暗号化セッションのネゴシエーションをできるようになります。

CA が CSR を受け取ると、CA は CSR に含まれる情報を確認し、検証します。申請者が CA のセキュリティ標準を満たす場合、

CA はデジタル署名付きの SSL サーバ証明書を発行します。この証明書は、申請者のサーバが管理ステーションで実行されている

ブラウザと SSL 接続を確立するときに、そのサーバを固有識別します。

CA が CSR を承認し、SSL サーバ証明書を発行した後は、その証明書を iDRAC にアップロードできます。iDRAC ファームウェアに

保存されている、CSR の生成に使用された情報は、SSL サーバ証明書に含まれる情報と一致する必要があります。つまり、この証

明書は、iDRAC によって作成された CSR を使用して生成されている必要があります。

ウェブインタフェースを使用した CSR の生成

新規の CSR を生成するには、次の手順を実行します。

メモ

: 新規の CSR はそれぞれ、ファームウェアに保存された以前の CSR データを上書きします。CSR 内の情報は、SSL サー

バ証明書内の情報に一致する必要があります。そうでない場合、iDRAC は証明書を受け入れません。

1. iDRAC ウェブインタフェースで、iDRAC Settings（iDRAC 設定） > Connectivity（接続） > SSL（SSL） > SSL certificate

（SSL 証明書）の順に移動し、Generate Certificate Signing Request (CSR)（証明書署名要求（CSR）の生成）を選択し

て、Next（次へ）をクリックします。

新規の証明書署名要求の生成ページが表示されます。

2. 各 CSR 属性の値を入力します。

詳細については、『iDRAC オンラインヘルプ』を参照してください。

3. 生成をクリックします。

新規の CSR が生成されます。それを管理ステーションに保存します。

102

iDRAC の設定