自動初期信頼

自動初期信頼アプローチは、自己署名証明書を使用し、検出プロセスを使用してHPE OneViewに追加される、サーバーハードウェアやOnboard Administrator(OA)などのデバイスに適用されます。

デバイスでの初回検出時に、HPE OneViewによって、そのデバイスの自己署名証明書がHPE OneViewトラストストアに自動的に追加されます。このアプローチを中間者攻撃から保護するために、分離されたネットワークセグメントで初期検出を行う必要があります。これ以外の方法を取った場合は、後からアウトオブバンドでデバイスの証明書の真正性を検証する必要があります。真正性を簡単に検証できるかどうかは、デバイスによって異なります。このアプローチは、デバイスの証明書の指紋を安全に表示できるデバイスでのみ機能します。

注記:

自動初期信頼アプローチは、HPE OneViewがデバイスと初めて通信する場合に使用されます。デバイスが検出または管理された後に、自己署名証明書が変更されると、HPE OneViewはそのデバイスと通信できなくなります。HPE OneViewトラストストアにそのデバイスの新しい証明書を追加するよう管理者に指示するアラートが生成されます。

証明書の指紋を安全に検証し、主要なHPE OneViewデバイスの自己署名証明書をインポートするには、以下の手順に従います。

  • 以下のセクションに記載されているいずれかの方法を使用して、デバイスの証明書の指紋を安全に取得します。

  • HPE OneViewでデバイスが検出または追加されたら、取得した指紋を、HPE OneViewトラストストアに保存されているそのデバイスの証明書の指紋と比較します。設定 > セキュリティ > 証明書の管理画面を使用して、HPE OneViewトラストストアにある証明書を表示します。

  • 指紋が一致した場合、HPE OneViewとそのデバイスは安全に通信できます。

  • 指紋が一致しない場合は、HPE OneViewとの初期通信セッションの後にデバイスの証明書が変更されたか、中間者攻撃を受けた可能性があります。

いくつかの例を以下に示します。

  • サーバーのiLO

    Gen10ラックマウント型サーバーの場合

    シリアルケーブルとサーバーのターミナルを接続します。iLOで次のコマンドを使用して、iLOの自己署名証明書の指紋を識別します。
    cd /map1/sslcert1/hpiLO
show

    シリアル接続できず、SSHホストの指紋がこれまでに検証されていない場合は、管理ネットワークとiLOの接続を切断し、分離されて保護されたネットワーク上にある別の信頼済みのデバイスから直接接続します。分離されたネットワーク上でSSH接続を安全に確立できます。iLOを管理ネットワークに戻すときは、他の管理者が後で使用できるように、iLOのSSHホストの指紋を控えておいてください。

  • Gen9以前のラックマウント型サーバーの場合

    Gen9以前のラックマウント型サーバーでは、iLOコマンドラインインターフェイス(CLI)を使用できません。代わりに、管理ネットワークとiLOの接続を切断し、Webブラウザーが動作している他のクライアントデバイスを使用して、分離されたネットワーク上にiLOを一時的にセットアップします。Webブラウザーを使用してiLOに接続し、証明書の指紋を控えておきます。

  • BladeSystemブレードサーバーの場合

    Onboard Administrator(OA)との信頼を確立します。OAユーザーインターフェイスを使用して各iLOに安全に接続し、Webブラウザーを使用して証明書の指紋を表示します。

  • BladeSystem Onboard Administrator

    Onboard Administrator(OA)では、シリアル接続とshow oa certificateコマンドがサポートされています。また、ノートパソコン接続専用の安全なネットワークサービスポートもあります。ノートパソコンからブラウザーを使用して、OAのユーザーインターフェイスおよび関連証明書の指紋を表示できます。これで、管理ネットワーク上のブラウザーとOA間で信頼を確立できるようになります。OAから各iLOに安全に接続し、ブラウザーを使用して証明書の指紋を確認できます。