自動初期信頼
自動初期信頼アプローチは、自己署名証明書を使用するサーバーハードウェア、フレームリンクモジュール、およびHPE Synergy 12Gb SAS接続モジュールなどのデバイスに適用されます。これらのデバイスは、検出プロセスを使用してHPE OneViewに追加されます。
デバイスでの初回検出時に、HPE OneViewによって、そのデバイスの自己署名証明書がHPE OneViewトラストストアに自動的に追加されます。このアプローチを中間者攻撃から保護するために、分離されたネットワークセグメントで初期検出を行う必要があります。これ以外の方法を取った場合は、後からアウトオブバンドでデバイスの証明書の真正性を検証する必要があります。真正性を簡単に検証できるかどうかは、デバイスによって異なります。このアプローチは、デバイスの証明書の指紋を安全に表示できるデバイスでのみ機能します。
自動初期信頼アプローチは、HPE OneViewがデバイスと初めて通信する場合に使用されます。デバイスが検出または管理された後に、自己署名証明書が変更されると、HPE OneViewはそのデバイスと通信できなくなります。HPE OneViewトラストストアにそのデバイスの新しい証明書を追加するよう管理者に指示するアラートが生成されます。
検出
ファームウェアのアップグレード(ファームウェアバージョンが1.5.xより前のバージョンからアップグレードされる場合)。
アプライアンスのアップグレード(バージョンがHPE OneView 5.0より前のバージョンからアップグレードされる場合)。
以下のセクションに記載されているいずれかの方法を使用して、デバイスの証明書の指紋を安全に取得します。
HPE OneViewでデバイスが検出または追加されたら、取得した指紋を、HPE OneViewトラストストアに保存されているそのデバイスの証明書の指紋と比較します。設定 > セキュリティ > 証明書の管理画面を使用して、HPE OneViewトラストストアにある証明書を表示します。
指紋が一致した場合、HPE OneViewとそのデバイスは安全に通信できます。
指紋が一致しない場合は、HPE OneViewとの初期通信セッションの後にデバイスの証明書が変更されたか、中間者攻撃を受けた可能性があります。
Synergyフレームリンクトポロジ
自己署名証明書のみを使用してHPE Synergyシステムで初期信頼を確立するには、フレームリンクモジュールを管理ネットワークに接続する前に、最初のフレームリンクトポロジのハードウェア検出を実行します。すべてのデバイスが管理ネットワークから分離している場合は、中間者攻撃の可能性はなく、すべての自己署名証明書はHPE OneViewトラストストアに安全に保存されています。
注記:このアプローチは、元のフレームリンクトポロジのセットアップ時にのみ適用できます。追加のフレーム、リモートフレームリンクトポロジ、または追加のコンピュートモジュールが挿入されたときは、自動初期信頼アプローチを使用してそれらのデバイスの自己署名証明書を個別に検証する必要があります。
Synergy Gen10コンピュートモジュールの場合
SSHを使用してHPE OneViewに接続し、次のコマンドを使用して各iLOにシリアル接続して証明書の指紋を取得します。
SSH接続そのものを信頼するために、フレームリンクトポロジを管理ネットワークに接続する前に、Synergyの初期構成時にHPE OneView SSHホストキーを保存する必要があります。このアプローチは、iLOの「本番稼働」セキュリティモードになっているコンピュートモジュールでのみ機能します。他のアプローチでは、Gen9コンピュートモジュールのセクションに記載されているとおり、iLOを管理ネットワークから分離する必要があります。cd /map1/sslcert1/hpiLO showSynergy Gen9コンピュートモジュールの場合
Gen9コンピュートモジュールの場合、自己署名証明書を安全に取得する唯一の方法は、フレームをフレームリンクトポロジから分離し、管理ネットワークから接続を切断したときに、iLOに接続することです。iLOの管理ネットワークポートにWebブラウザーが搭載されたデバイス(ノートパソコンなど)を接続し、各iLOにアクセスしてその証明書の指紋を表示します。
フレームリンクモジュール
フレームリンクモジュールのコンソールのユーザーインターフェイスに、その証明書の指紋が表示されます。フレームリンクモジュールは最初に自動的に信頼され、フレームリンクモジュールを工場出荷時設定にリセットした後でも信頼されます。