Zum Hauptinhalt springen

Angepasste Serverzertifikate in Lenovo XClarity Administrator implementieren

Sie können eine Zertifikatssignieranforderung (Certificate Signing Request, CSR) zum Signieren durch die Zertifizierungsstelle Ihrer Organisation oder eine unabhängige Zertifizierungsstelle generieren. Die Zertifikatssignieranforderung erstellt eine vollständige Zertifikatskette, die Sie importieren und anstelle der eindeutigen, intern signierten Standardzertifikate verwenden können.

Vorbereitende Schritte

Stellen Sie sicher, dass die Zertifikatsdetails die folgenden Anforderungen erfüllen.

  • Schlüsselverwendung muss enthalten:

    • Schlüsselvereinbarung

    • Digitale Signatur

    • Schlüsselverschlüsselung

  • Erweiterte Schlüsselverwendung muss enthalten:

    • Serverauthentifizierung (1.3.6.1.5.5.7.3.1)

    • Clientauthentifizierung (1.3.6.1.5.5.7.3.2)

Zu dieser Aufgabe

Achtung
Wenn NIST SP 800-131A aktiviert ist (siehe NIST SP 800-131A-Konformität implementieren) und Sie benutzerdefinierte oder extern signierte Zertifikate in einem NIST verwenden oder verwenden möchten, müssen alle Zertifikate in der Kette auf SHA‑256-Hashfunktionen basieren.

Wenn das Serverzertifikat hochgeladen wurde, versucht XClarity Administrator, das neue CA-Zertifikat für alle verwalteten Einheiten bereitzustellen. Ist der Bereitstellungsprozess erfolgreich, wird das neue Serverzertifikat sofort von XClarity Administrator verwendet. Wenn der Vorgang fehlschlägt, erhalten Sie Fehlernachrichten. Mithilfe dieser Nachrichten können Sie Probleme manuell korrigieren, bevor Sie das neu importierte Serverzertifikat übernehmen. Nachdem die Fehler behoben sind, schließen Sie die Installation des zuvor hochgeladenen Zertifikats ab.

Anmerkung
Wenn XClarity Administrator bereits ein Zertifikat genutzt hat, das von derselben Stammzertifizierungsstelle signiert wurde, muss das CA-Zertifikat nicht an die Einheiten gesendet werden. XClarity Administrator beginnt direkt mit der Verwendung des Zertifikats.

Nach dem Upload eines Zertifikats in XClarity Administrator v3.6 und früher werden neue Sitzungen mithilfe des neuen Zertifikats eingerichtet, ohne die vorhandene Sitzung zu beenden. Starten Sie den Webbrowser neu, um zu überprüfen, ob das neue Zertifikat in der aktuellen Sitzung verwendet wird.

Bei XClarity Administrator v4.0 und höher wird der Web-Server neu gestartet und alle Browsersitzungen werden automatisch beendet. Wenn Sie weiter mit XClarity Administrator arbeiten möchten, müssen Sie sich erneut anmelden.

Vorgehensweise

Führen Sie die folgenden Schritte aus, um ein angepasstes, extern signiertes Serverzertifikat zu generieren und in Lenovo XClarity Administrator zu implementieren.

  1. Erstellen Sie eine Zertifikatssignieranforderung (CSR) für XClarity Administrator und laden Sie sie herunter.
    1. Wählen Sie in der Menüleiste von XClarity Administrator die Optionen Verwaltung > Sicherheit aus, um die Seite Sicherheit aufzurufen.
    2. Klicken Sie im Zertifikatsverwaltungsabschnitt auf Serverzertifikat, um die gleichnamige Seite anzuzeigen.
    3. Wählen Sie die Registerkarte Zertifikatssignieranforderung (CSR) generieren aus.
    4. Geben Sie Daten in die Felder für die Anforderung ein.

      • Land oder Region

      • Staat oder Bundesland

      • Ort oder Standort

      • Anordnung

      • Organisationseinheit (optional)

      • Allgemeiner Name

      Achtung
      Wählen Sie einen allgemeinen Namen aus, der mit der IP-Adresse oder dem Hostnamen übereinstimmt, die von XClarity Administrator zum Herstellen der Verbindung mit der verwalteten Einheit verwendet werden. Ein falscher Wert kann zu Verbindungen führen, die nicht vertrauenswürdig sind.
    5. Optional: Sie können die alternativen Namen, die beim Generieren der CSR zur Erweiterung X.509 subjectAltName hinzugefügt werden, anpassen, hinzufügen und löschen. Alle alternativen Namen, die in der Tabelle aufgelistet sind, werden überprüft, gespeichert und zur Zertifikatssignieranforderung hinzugefügt, nachdem Sie diese im nächsten Schritt generiert haben.

      Standardmäßig definiert XClarity Administrator automatisch alternative Namen für die Zertifikatssignieranforderung auf Basis der IP-Adresse und des Hostnamens, die von den Netzwerkschnittstellen des Gastbetriebssystems von XClarity Administrator erkannt werden.

      Achtung
      Die alternativen Namen müssen den vollständig qualifizierten Domänennamen (FQDN) oder die IP-Adresse des Verwaltungsservers enthalten und der Name muss auf den FQDN des Verwaltungsservers festgelegt sein. Prüfen Sie vor Beginn des CSR-Prozesses, dass diese erforderlichen Felder vorhanden und korrekt sind, um sicherzustellen, dass das daraus resultierende Zertifikat vollständig ist. Fehlende Zertifikatsdaten können zu nicht vertrauenswürdigen Verbindungen führen, wenn Sie versuchen, die XClarity Administrator Instanz mit Lenovo XClarity Orchestrator zu verbinden.

      Der von Ihnen angegebene Name muss für den ausgewählten Typ gültig sein.

      • directoryName (z. B. cn=lxca-example,ou=dcg,dc=company,dc=com)

      • dNSName (z. B. lxca-example.dcg.company.com)

      • ipAddress (z. B. 192.0.2.0)

      • registeredID (z. B. 1.2.3.4.55.6.5.99)

      • rfc822Name (z. B. example@company.com)

      • uniformResourceIdentifier (z. B. https://lxca-dev.dcg.company.com/example)

      Anmerkung
      Alle SANs, die in der Tabelle aufgelistet sind, werden überprüft, gespeichert und zur Zertifikatssignieranforderung hinzugefügt, nachdem Sie diese im nächsten Schritt generieren.
    6. Klicken Sie auf CSR-Datei generieren. Das Serverzertifikat ist im Dialogfenster Zertifikatssignieranforderung zu sehen.
      Wichtig

      • Überprüfen Sie, ob das neu generierte Zertifikat den FQDN und die IP-Adresse als Teil des alternativen Namens enthält.

      • Wenn diese XClarity Administrator Instanz von XClarity Orchestrator verwaltet wird, stellen Sie sicher, dass das generierte, auf der CSR basierende Zertifikat so konfiguriert ist, dass es sowohl als Serverzertifikat als auch Clientzertifikat verwendet wird.

    7. Wählen Sie In Datei speichern aus, um das Serverzertifikat auf dem Host-Server zu sichern.
  2. Übermitteln Sie die Zertifikatssignieranforderung an eine vertrauenswürdige Zertifizierungsstelle (Certificate Authority, CA). Die Zertifizierungsstelle signiert die Zertifikatssignieranforderung und antwortet mit einem Serverzertifikat.
  3. Laden Sie das extern signierte Serverzertifikat in XClarity Administrator hoch. Der Zertifikatsinhalt muss ein Paket sein, in dem das CA-Stammzertifikat, alle Zwischenzertifikate und das Serverzertifikat enthalten sind.
    1. Klicken Sie in der XClarity Administrator-Menüleiste auf Verwaltung > Sicherheit, um die Seite „Sicherheit“ anzuzeigen.
    2. Klicken Sie im Abschnitt für die Zertifikatsverwaltung auf Serverzertifikat.
    3. Wechseln Sie auf die Registerkarte Zertifikat hochladen.
    4. Wählen Sie Zertifikat hochladen aus, um das gleichnamige Dialogfeld anzuzeigen.
    5. Geben Sie eine Zertifikatspaketdatei im Format PEM, DER oder PKCS7 an oder fügen Sie das Zertifikatspaket im PEM-Format ein.
    6. Klicken Sie auf Hochladen, um das Serverzertifikat hochzuladen und das Zertifikat im XClarity Administrator-Truststore zu speichern.