CNSAモードの設定

この手順はオプションです。HPE OneViewアプライアンスがCNSAモードで構成されている場合、外部レポジトリも構成する必要があります。

手順

OpenSSL、mod_ssl、およびOpenSSLへのApacheインターフェイスを取得します。
yum install mod_ssl openssl
サブジェクト代替名（SAN）フィールドとLinux外部レポジトリのIPアドレスを/etc/pki/tls/openssl.cnfの[v3_req]というタイトルのセクションに追加します。
IPv4レポジトリの場合、[v3_req]は次の例のようになります。
```
[v3_req]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = IP:172.20.5.55
```
IPv6レポジトリの場合、DNS属性のIPv6アドレスをカッコとともに追加します。
例：subjectAltName DNS=[1::3] IP=1::3
[v3_req]は、次の例のようになります。
```
[v3_req]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName DNS=[1::3] IP=1::3
```

OpenSSLを使用して、Webサーバーに必要な証明書を生成します。

openssl genrsa -out key.pem 3072
openssl req -new  -sha384 -key key.pem -out certreq.csr -subj '/CN=firmwareRepo/C=US/ST=State/L=City/O=Customer/OU=IT'
openssl req -x509  -sha384 -key key.pem -out cert.pem -nodes -days 3650 -extensions v3_req -in certreq.csr

/etc/httpd/conf.d/ssl.confをアップデートして、CNSAモードで許可されているプロトコルを設定します。
```
#SSLProtocol all -SSLv2 -SSLv3
SSLProtocol  -all +TLSv1.2
```

/etc/httpd/conf.d/ssl.confをアップデートして、暗号スイートを追加します。

# SSL Cipher Suite:
# List the ciphers that the client is permitted to negotiate.
# See the mod_ssl documentation for a complete list.
#SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA
#SSLCipherSuite ECDHE-ECDSA-AES256-SHA:HIGH:MEDIUM:!aNULL:!MD5
 
#Setup cipher suites to work with OV in CNSA mode
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384

生成された証明書とキーを正しい場所にコピーします。
cp cert.pem /etc/pki/tls/certs/localhost.crt

cp key.pem /etc/pki/tls/private/localhost.key
Apache httpd Webサーバーを再起動します。
service httpd restart
ブラウザーを使用してWebサーバーに接続します。自己署名証明書を使用した場合は、証明書エラーが表示されます。続行するには、証明書の例外を受け入れ、CNの一致を確認します。
オプション。OS（CentOS）でCNSAモードを有効にして、OSを再起動します。
echo1 >> /proc/sys/crypto/cnsa_enabled