FIPSモードの設定
この手順はオプションです。HPE OneViewアプライアンスがFIPSモードで構成されている場合、外部レポジトリも構成する必要があります。
前提条件
必要な証明書を生成するための、Linuxを実行しているコンピューターまたは仮想マシンがあります。
手順
-
Linuxを実行しているコンピューターまたは仮想マシンにインストールされているOpenSSLを使用して、Windows Webサーバーに必要な証明書を生成します。
OpenSSLを入手してインストールします。
yum install opensslCNをFQDNに設定します。サーバーのFQDNを取得するには、コマンドping -a IP_ADDRを入力してください。WebサーバーのDNSとIPアドレスを使用して
subjectAltNameを設定します。
openssl genrsa -out key.pem 2048 openssl req -subj "/CN=<FQDN or IP address>/C=US/ST=CA/L=PA/O=HPE/OU=Org" -sha256 -new -key key.pem -out \ certreq.csr -reqexts SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:<FQDN>,\ IP:<IP address>\nkeyUsage=digitalSignature,keyEncipherment,dataEncipherment\nbasicConstraints=CA:FALSE")) openssl req -x509 -sha256 -key key.pem -out cert.pem -nodes -days 3650 -extensions v3_req -in certreq.csr \ -config <(cat /etc/pki/tls/openssl.cnf <(printf "\n[v3_req]\nsubjectAltName=DNS:<FQDN>,IP:<IP address> \ \nkeyUsage=digitalSignature,keyEncipherment,dataEncipherment\nbasicConstraints=CA:FALSE")) -
公開キーと秘密キーを含む
pfxファイルを作成します。openssl pkcs12 -export -out cert.pfx -inkey key.pem -in cert.pem -
pfxファイルをIIS Webサーバーにインポートするには、以下の手順を実行します。- IISマネージャーを開きます。
- IISマネージャーのホームページで、サーバー証明書 > インポートを選択します。
pfxファイルを選択し、パスワードを入力します。注記:入力したパスワードを覚えておいてください。このパスワードは、WebサーバーをHPE OneViewに追加するときに必要になります。
- 接続パネルからデフォルトのWebサイトを選択して、アクションペインのバインドを選択します。
- 追加をクリックし、種類のドロップダウンリストからhttpsを選択します。割り当てられているデフォルトポートは443です。
- IIS Webサーバーを再起動します。
- ブラウザーを使用してWebサーバーに接続します。自己署名証明書を使用した場合は、証明書エラーが表示されます。続行するには、証明書の例外を受け入れます。
-
WindowsサーバーのモードをFIPSに設定するには、以下の手順を実行します。
- ファイル名を指定して実行アプリケーションを開き、
regeditコマンドを入力してWindowsレジストリキーを開きます。FIPSアルゴリズムポリシーのキーを有効にします。キーHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy REG_DWORDを1(10進数)に設定 - FIPSモードが有効になっていることを確認します。
ファイル名を指定して実行アプリケーションを開き、
gpedit.mscコマンドを入力します。ローカルグループポリシーエディターが開きます。
ローカルグループポリシーエディターで、コンピューターの構成 > Windowsの設定 > セキュリティの設定 > ローカルポリシー > セキュリティオプションを選択します。
システム暗号化:暗号化、ハッシュ、署名のためのFIPS準拠アルゴリズムを使うを開きます。
- 有効を選択します。
- OSを再起動します。
- ファイル名を指定して実行アプリケーションを開き、