Zum Hauptinhalt springen

Angepasste Serverzertifikate in Lenovo XClarity Administrator implementieren

Sie können eine Zertifikatssignieranforderung (Certificate Signing Request, CSR) zum Signieren durch die Zertifizierungsstelle Ihrer Organisation oder eine unabhängige Zertifizierungsstelle generieren. Die Zertifikatssignieranforderung erstellt eine vollständige Zertifikatskette, die Sie importieren und anstelle der eindeutigen, intern signierten Standardzertifikate verwenden können.

Vorbereitende Schritte

Stellen Sie sicher, dass die Zertifikatsdetails die folgenden Anforderungen erfüllen.

  • Schlüsselverwendung muss enthalten:

    • Schlüsselvereinbarung

    • Digitale Signatur

    • Schlüsselverschlüsselung

  • Erweiterte Schlüsselverwendung muss enthalten:

    • Serverauthentifizierung (1.3.6.1.5.5.7.3.1)

    • Clientauthentifizierung (1.3.6.1.5.5.7.3.2)

Zu dieser Aufgabe

Achtung
Wenn NIST SP 800-131A aktiviert ist (siehe NIST SP 800-131A-Konformität implementieren) und Sie benutzerdefinierte oder extern signierte Zertifikate in einem NIST verwenden oder verwenden möchten, müssen alle Zertifikate in der Kette auf SHA‑256-Hashfunktionen basieren.

Wenn das Serverzertifikat hochgeladen wurde, versucht XClarity Administrator, das neue CA-Zertifikat für alle verwalteten Einheiten bereitzustellen. Ist der Bereitstellungsprozess erfolgreich, wird das neue Serverzertifikat sofort von XClarity Administrator verwendet. Wenn der Vorgang fehlschlägt, erhalten Sie Fehlernachrichten. Mithilfe dieser Nachrichten können Sie Probleme manuell korrigieren, bevor Sie das neu importierte Serverzertifikat übernehmen. Nachdem die Fehler behoben sind, schließen Sie die Installation des zuvor hochgeladenen Zertifikats ab.

Anmerkung
Wenn XClarity Administrator bereits ein Zertifikat genutzt hat, das von derselben Stammzertifizierungsstelle signiert wurde, muss das CA-Zertifikat nicht an die Einheiten gesendet werden. XClarity Administrator beginnt direkt mit der Verwendung des Zertifikats.

Nach dem Hochladen eines Zertifikats in XClarity Administrator v1.1.0 und früher wurde der Web-Server neu gestartet und alle Browsersitzungen wurden automatisch beendet. Seit XClarity Administrator v1.1.1 wird das neue Zertifikat verwendet, ohne aktuelle Sitzungen zu schließen. Alle neuen Sitzungen werden mit dem neuen Zertifikat gestartet. Starten Sie den Webbrowser neu. Jetzt können Sie überprüfen, dass das neue Zertifikat verwendet wird.

Vorgehensweise

Führen Sie die folgenden Schritte aus, um ein angepasstes, extern signiertes Serverzertifikat zu generieren und in Lenovo XClarity Administrator zu implementieren.

  1. Erstellen Sie eine Zertifikatssignieranforderung (CSR) für XClarity Administrator und laden Sie sie herunter.
    1. Wählen Sie in der Menüleiste von XClarity Administrator die Optionen Verwaltung > Sicherheit aus, um die Seite Sicherheit aufzurufen.
    2. Klicken Sie im Zertifikatsverwaltungsabschnitt auf Serverzertifikat, um die gleichnamige Seite anzuzeigen.
    3. Wählen Sie die Registerkarte Zertifikatssignieranforderung (CSR) generieren aus.
    4. Geben Sie Daten in die Felder für die Anforderung ein.

      • Land oder Region

      • Staat oder Bundesland

      • Ort oder Standort

      • Anordnung

      • Organisationseinheit (optional)

      • Allgemeiner Name

      Achtung
      Wählen Sie einen allgemeinen Namen aus, der mit der IP-Adresse oder dem Hostnamen übereinstimmt, die von XClarity Administrator zum Herstellen der Verbindung mit der verwalteten Einheit verwendet werden. Ein falscher Wert kann zu Verbindungen führen, die nicht vertrauenswürdig sind.
    5. Optional: Passen Sie die alternativen Namen (SANs) an, die beim Generieren der Zertifikatssignieranforderung zur Erweiterung X.509 „subjectAltName“ hinzugefügt werden.

      Standardmäßig definiert XClarity Administrator automatisch alternative Namen (SANs) für die Zertifikatssignieranforderung auf Basis der IP-Adresse und des Hostnamens, die von den Netzwerkschnittstellen des Gastbetriebssystems von XClarity Administrator erkannt werden. Sie können diese SAN-Werte anpassen, löschen oder ergänzen.

      Der Name, den Sie angeben, muss für den ausgewählten Typ gültig sein:

      • directoryName (z. B. cn=lxca-example,ou=dcg,dc=company,dc=com)

      • dNSName (z. B. lxca-example.dcg.company.com)

      • ipAddress (z. B. 192.0.2.0)

      • registeredID (z. B. 1.2.3.4.55.6.5.99)

      • rfc822Name (z. B. example@company.com)

      • uniformResourceIdentifier (z. B. https://lxca-dev.dcg.company.com/example)

      Anmerkung
      Alle SANs, die in der Tabelle aufgelistet sind, werden überprüft, gespeichert und zur Zertifikatssignieranforderung hinzugefügt, nachdem Sie diese im nächsten Schritt generieren.
    6. Klicken Sie auf CSR-Datei generieren. Das Serverzertifikat ist im Dialogfenster Zertifikatssignieranforderung zu sehen.
    7. Wählen Sie In Datei speichern aus, um das Serverzertifikat auf dem Host-Server zu sichern.
  2. Übermitteln Sie die Zertifikatssignieranforderung an eine vertrauenswürdige Zertifizierungsstelle (Certificate Authority, CA). Die Zertifizierungsstelle signiert die Zertifikatssignieranforderung und antwortet mit einem Serverzertifikat.
  3. Laden Sie das extern signierte Serverzertifikat in XClarity Administrator hoch. Der Zertifikatsinhalt muss ein Paket sein, in dem das CA-Stammzertifikat, alle Zwischenzertifikate und das Serverzertifikat enthalten sind.
    1. Klicken Sie in der XClarity Administrator-Menüleiste auf Verwaltung > Sicherheit, um die Seite „Sicherheit“ anzuzeigen.
    2. Klicken Sie im Abschnitt für die Zertifikatsverwaltung auf Serverzertifikat.
    3. Wechseln Sie auf die Registerkarte Zertifikat hochladen.
    4. Wählen Sie Zertifikat hochladen aus, um das gleichnamige Dialogfeld anzuzeigen.
    5. Geben Sie eine Zertifikatspaketdatei im Format PEM, DER oder PKCS7 an oder fügen Sie das Zertifikatspaket im PEM-Format ein.
    6. Klicken Sie auf Hochladen, um das Serverzertifikat hochzuladen und das Zertifikat im XClarity Administrator-Truststore zu speichern.