iLO4 の管理画面へのSSL証明書の設定手順について紹介します。
iLO4 の管理画面にWebブラウザでアクセスするとSSLのエラーが発生する場合があります。これは、iLOの管理画面で利用しているSSLの証明書のルート証明機関が信頼されていないためです。この記事では、iLO4の管理画面にSSLの証明書を設定する手順を紹介します。
SSLエラーが出た場合は、画面の[Webページへ移動]のリンクをクリックして暫定で管理画面にアクセスします。iLOの管理画面にログインします。
左側のメニューの[Security]の項目をクリックします。アk図の画面が表示されます。
右側のエリアの上部のタブ様のリンクの[SSL Certificate]の項目をクリックします。下図の画面が表示されます。画面右側の[Customize Certificate]のボタンをクリックします。
[Security: SSL Cetificate Customization]の画面が表示されます。SSL証明書の情報が表示されています。今回は新しい証明書を作成するため、画面右下の[Generate CSR]のボタンをクリックします。
編集画面が表示されます。国名や都市名、組織名等を入力します。Common Name(CN)は変更せずに元の値をそのまま利用します。項目の入力ができたら画面右下の[Generate CSR]のボタンをクリックします。
下図の画面が表示されます。設定変更後すぐに証明書要求ファイルは作成されない旨が表示されます。10分程度時間をあけて再度[Generate CSR]のボタンをクリックする旨のメッセージが表示されます。
しばらく時間を空けて、再度[Generate CSR]ボタンをクリックすると下図のポップアップウィンドウが表示され、証明書要求ファイル(Certificate Signing Request:CSR)の文字列が表示されます。
文字列をメモ帳にコピーして保存します。このファイルが証明書要求ファイルになります。
上記の手順で作成した証明書要求ファイルから証明書を発行します。Windows Server で認証機関を利用して証明書要求ファイルから証明書を発行できます。手順の詳細はこちらの記事を参照してください。
iLOの管理画面での証明書のインポート時には、Base 64でエンコードされている必要があるため、証明書発行後のエクスポート時に注意が必要です。
証明機関のインストールされているサーバーで、証明書を発行し、証明書のプロパティを表示します。ウィンドウ上部の詳細タブをクリックします。下図の画面が表示されます。ウィンドウ下部の[ファイルにコピー]のボタンをクリックし、証明書をファイルとしてエクスポートします。
[証明書のエクスポート ウィザード]のウィンドウが表示されます。[次へ]ボタンをクリックします。
[エクスポート ファイルの形式]画面が表示されます。
通常であればデフォルトのままで問題ありませんが、iLOの管理画面での証明書のインポート時には、Base 64でエンコードされている文字列を入力する必要があるため、"Base 64 encoded X.509 (.CER)"のラジオボタンをクリックして選択します。選択後[次へ]ボタンをクリックします。
[エクスポートするファイル]画面が表示されます。証明書ファイルをエクスポートするディレクトリを指定します。設定後[次へ]ボタンをクリックします。
[証明書のエクスポート ウィザードの完了]画面が表示されます。[完了]ボタンをクリックして、証明書のエクスポートウィザードを終了します。
「正しくエクスポートされました。」のメッセージボックスが表示されエクスポートが完了します。
証明書ファイルがエクスポートできました。
証明機関で発行した証明書をiLOにインポートします。先ほどCSRファイル(証明書要求ファイル)を作成した画面に戻ります。画面右下の[Import Certificate]ボタンをクリックします。
[Import Certificate]のポップアプウィンドウが表示されます。中央のテキストエリアにbase64でエンコードされた証明書ファイルの文字列を入力します。
先ほど証明機関で発行したBase64でエンコードされた証明書ファイルをメモ帳で開きます。下図のようなテキストファイルになっています。
文字列をコピーし、iLOのウィンドウのテキストエリアにペーストします。入力後、ポップアップウィンドウの右下の[Import]ボタンをクリックします。
下図の "Applying new settings requires an iLO reset. Would you like to apply the new setting and reset iLO now?" (新しい設定を適用するには、iLOのリセットが必要です。 新しい設定を適用して今iLOをリセットしますか?) のメッセージボックスが表示されます。[OK]ボタンをクリックして、SSLの証明書を反映します。
認証機関(CA)の証明書がインストールされていない場合は、CAの証明書をインストールします。
CAの証明書ファイルを入手し、クライアントのPCで開きます。下図のダイアログが表示されます。「この CA ルート証明書は信頼されていません。信頼を有効にするにはこの証明書を信頼されたルート証明機関のストアにインストールしてください。」のメッセージが表示されています。
ウィンドウ下部の[証明書のインストール]ボタンをクリックします。
[証明書のインポート ウィザード]のウィンドウが表示されます。
今回は認証機関(CA)の証明書のインストールのため[保存場所]は[ローカル コンピューター]にチェックをします。ウィンドウ下部の[次へ]ボタンをクリックします。
[証明書ストア]の画面が表示されます。
[証明書をすべて次のストアに配置する]のラジオボタンをクリックしてチェックします。下部の[参照]ボタンをクリックします。
[証明書ストアの選択]ダイアログボックスが表示され、証明書を保存するストアの一覧が表示されます。ツリービューの中の[信頼されたルート証明機関]の項目をクリックして選択します。選択後[OK]ボタンをクリックします。
[証明書ストア]の保存先のテキストボックスに"信頼されたルート証明機関"が設定されました。[次へ]ボタンをクリックします。
[証明書のインポート ウィザードの完了]画面が表示されます。[完了]ボタンをクリックして証明書をインポートします。
証明書がインポートされ、「正しくインポートされました」のメッセージボックスが表示されます。
認証機関(CA)の証明書を開くと先ほど表示されていた「この CA ルート証明書は信頼されていません。」のメッセージはありません。CAが信頼済みになっていることが確認できます。
一度PCを再起動し、その後iLOの管理画面にアクセスします。SSLの証明書の認証機関が信頼されたため、SSLのエラーメッセージなどは表示されません。アドレスバーも赤色にならずにページが表示できます。
以上で設定は完了です。
証明書が有効期限切れになると、アクセスできなくなってしまいます。対処方法は[こちらの記事>hpe-proliant-ilo-ssl-cetificate-expired]を参照してください。
