証明書の検証について

HPE OneViewは、アプライアンスと外部サーバーやデバイスの間のすべてのトランスポート層セキュリティ(TLS)通信で証明書の検証を実行します。このチェックによって、リモートエンドポイントで機密性、完全性、および認証が保証されます。

Hewlett Packard Enterpriseは、本番環境において、証明書の検証を有効にすることを強くお勧めします。テスト環境など、セキュリティを問題にする必要のない環境では、必要に応じて証明書の検証を無効にすることができます。

証明書の検証を無効にすると、認証情報などの機密データが安全に送信されません。証明書の検証を無効にした場合は、エンタープライズログイン証明書がネットワーク経由で送信されないように、エンタープライズディレクトリベースのアカウントではなく、ローカル ユーザー アカウントだけを使用してください。

無効にすると、アプライアンスはHTTPS通信の信頼チェックを実行しません。

有効にすると、証明書の信頼チェックが実行されます。自己署名証明書がトラストストアに存在する必要があり、CA署名証明書はトラストストア内に存在するCAルートとすべての中間証明書が必要です。

証明書画面のリーフ証明書の期限切れをチェックするチェックボックスをオンにして、期限切れのリーフ証明書のチェックを有効にできます。このオプションを有効にすると、アプライアンスが通信中にデバイスリーフ証明書と自己署名証明書の有効期限チェックを実行できます。デフォルトでは、リーフ証明書の期限切れをチェックするオプションは無効になっています。
注記:

リーフ証明書の期限切れをチェックするオプションは、デバイスリーフ証明書のみを検証し、通信中にデバイスがHPE OneViewに提示するCA証明書は対象ではありません。

注記:

以前のリリースからアップグレードした場合は、現在の監視対象または管理対象デバイスで使用されている証明書がHPE OneViewトラストストアにインポートされ、証明書の有効期限切れなどの問題に関するアラートが生成されます。自動的に追加されたこれらの証明書は、デバイスの自己署名証明書、または認証機関(CA)署名証明書のリーフ証明書のいずれかです。CA署名証明書を使用すると、デバイス信頼プロセスが簡素化されます。

証明書チェックはデフォルトで有効になっていますが、証明書に問題があるデバイスを含むすべてのデバイスとの通信を維持するために、厳密な有効性チェックの一部は緩和されます。チェックが緩和されることにより、管理者は、有効期限切れの証明書への対処、信頼済みのCAルート証明書と中間証明書のアップロード、および適切なCRLのアップロードを行う時間が得られます。CAルート証明書をトラストストアに追加すると、より厳密な証明書検証が有効になります。CAによって署名されたすべてのデバイス証明書の共通名がデバイスのホスト名と一致していることを確認してください。一致していないと、CAによって署名され、以前に追加された管理対象デバイスとの信頼済みの通信が失われる可能性があります。

注記:

アプライアンスから管理対象デバイスまたは外部サーバーへの通信中に証明書が提示されると、有効期限の確認は次の種類のリーフ証明書では実行されません。

  • 自己署名証明書:自己署名証明書の詳細については証明書管理を参照してください。

  • 固定CA署名証明書:固定証明書とは、アプライアンスのトラストストアに保存された管理対象デバイスまたは外部サーバーに属するCA署名リーフ証明書のコピーを指します。

Hewlett Packard Enterpriseは、必要に応じたエンタープライズセキュリティポリシーのアップデートが完了してから、証明書の管理画面から厳密な証明書の有効性チェックを有効にすることを強くお勧めします。この画面から、ステータスに基づいた証明書のフィルター処理、証明書の編集、証明書の削除、証明書の追加、および証明書の検索を行うことができます。名前、状態、または有効期限を使用して証明書を検索できます。検索結果には、最初の100の証明書のみが表示されます。

HPE OneViewでは、自己署名証明書を使用するデバイスと、正式なCA署名証明書を使用するデバイスをサポートしています。CA署名証明書には、失効チェックや総合的な管理の簡素化などの利点があります。

HPE OneViewでは、CAのCRLファイルをインポートして、トラストストア内の既存の証明書に対して、および管理対象デバイスや外部サーバーとの通信中に受信した証明書に対して適切な失効チェックを実行できます。

証明書失効リスト(CRL)

証明書失効リスト(略してCRL)は、認証機関により設定された有効期限よりも前に失効した証明書のリストです。CRLは、デジタル証明書が無効にならないようにするために使用されます。

証明書失効チェックは、デフォルトで有効です。ただし、CA発行の証明書に一致するCRLがインポートされていない場合、またはCRLが期限切れになっている場合、HTTPS接続を確立する際に関連付けられた証明書の取り消しチェックをバイパスするようにアプライアンスを構成できます。

証明書画面で失効した証明書の検証を有効または無効にして、すでにアップロードされているCRLに対して証明書をチェックできます。

HPE OneViewは、CRLの処理方法を制御します。証明書画面で次のオプションを使用できます。
  • CRLを使用できない場合、失効チェックをスキップする

    このオプションは、証明書の検証中にHPE OneViewが、欠落したCRLをエラーとして処理するかどうかを制御します。デフォルトでは、このオプションは有効になっており、HPE OneViewは失効チェックを除いて全般的な証明書検証を実行します。

  • 期限切れのCRLを許可

    この設定は、HPE OneViewが期限切れのCRLをどのように処理するかを制御します。有効にすると、HPE OneViewでは期限切れのCRLが許可され、引き続き、そのCRLの失効チェックが実行されます。管理者に期限切れのCRLのアップデートを通知するアラートを送信するには、欠落、または期限切れのCRLを通知を参照してください。

  • CRLステータス通知を送信

    有効にすると、CAにアップロードされたCRLがない場合、CRLの有効期限が近づいている場合、またはCRLが期限切れになっている場合にアラートが表示されます。

  • CRLの自動ダウンロード

    有効にすると、HPE OneViewは、アプライアンスに存在するすべてのCAのCRLを自動的にダウンロードします。このオプションは、デフォルトでは無効になっています。