CNSAモードの設定
この手順はオプションです。HPE OneViewアプライアンスがCNSAモードで構成されている場合、外部レポジトリも構成する必要があります。
前提条件
必要な証明書を生成するための、Linuxを実行しているコンピューターまたは仮想マシンがあります。
Windows FIPSレポジトリをセットアップしてあります。
Windows Server 2016以降のバージョンがインストールされています。Windows Server 2012以前のバージョンでは、TLS 1.2暗号スイートは使用できません。
手順
-
Linuxを実行しているコンピューターまたは仮想マシンにインストールされているOpenSSLを使用して、Windows Webサーバーに必要な証明書を生成します。
OpenSSLを入手してインストールします。
yum install opensslCNをFQDNに設定します。サーバーのFQDNを取得するには、コマンドping -a IP_ADDRを入力してください。WebサーバーのDNSとIPアドレスを使用して
subjectAltNameを設定します。
openssl genrsa -out key.pem 3072 openssl req -subj "/CN=<FQDN or IP address>/C=US/ST=CA/L=PA/O=HPE/OU=Org" -sha384 -new -key key.pem -out \ certreq.csr -reqexts SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:<FQDN>,\ IP:<IP address>\nkeyUsage=digitalSignature,keyEncipherment,dataEncipherment\nbasicConstraints=CA:FALSE")) openssl req -x509 -sha384 -key key.pem -out cert.pem -nodes -days 3650 -extensions v3_req -in certreq.csr \ -config <(cat /etc/pki/tls/openssl.cnf <(printf "\n[v3_req]\nsubjectAltName=DNS:<FQDN>,IP:<IP address> \ \nkeyUsage=digitalSignature,keyEncipherment,dataEncipherment\nbasicConstraints=CA:FALSE")) -
公開キーと秘密キーを含む
pfxファイルを作成します。openssl pkcs12 -export -out cert.pfx -inkey key.pem -in cert.pem -
pfxファイルをIIS Webサーバーにインポートするには、以下の手順を実行します。- IISマネージャーを開きます。
- IISマネージャーのホームページで、サーバー証明書 > インポートを選択します。
pfxファイルを選択し、パスワードを入力します。入力したパスワードを書き留めます。
- 接続パネルからデフォルトのWebサイトを選択して、アクションペインのバインドを選択します。
- 追加をクリックし、種類のドロップダウンリストからhttpsを選択します。割り当てられているデフォルトポートは443です。
- IIS Webサーバーを再起動します。
- ブラウザーを使用してWebサーバーに接続します。自己署名証明書を使用した場合は、証明書エラーが表示されます。続行するには、証明書の例外を受け入れます。
-
WindowsサーバーのモードをCNSAに設定するには、以下の手順を実行します。
- ファイル名を指定して実行アプリケーションを開き、
gpedit.mscコマンドを入力します。ローカルグループポリシーエディターが開きます。
- ローカルグループポリシーエディターで、コンピューターの構成 > 管理用テンプレート > ネットワーク > SSL構成設定を選択します。
- SSL暗号の順位を開きます。
- 有効を選択し、スイートを追加します。
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_RSA_WITH_AES_256_GCM_SHA384、TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 - OSを再起動します。
- ファイル名を指定して実行アプリケーションを開き、