Angepasste Serverzertifikate in verwaltete Einheiten implementieren
Sie können angepasste Serverzertifikate in verwaltete Einheiten implementieren, indem Sie das extern signierte Zertifikatspaket mithilfe des CMMs und des Management-Controllers für diese Einheiten hochladen und installieren.
Vorbereitende Schritte
Stellen Sie sicher, dass die neueste Firmware auf allen verwalteten Einheiten installiert ist (siehe Firmware auf verwalteten Einheiten aktualisieren).
Wenn Sie eine Zertifikatssignieranforderung (CSR) für angepasste Zertifikate generieren, müssen Sie einen allgemeinen Namen auswählen, der mit der zur Ermittlung der Einheit verwendeten IP-Adresse oder dem Hostnamen übereinstimmt. Ein falscher Wert kann zu Verbindungen führen, die nicht vertrauenswürdig sind.
Stellen Sie sicher, dass Sie ein Zertifikatspaket abrufen, das die gesamte Signierungskette enthält – vom Endserverzertifikat bis zum Stammzertifikat (Basiszertifikat) der vertrauenswürdigen Zertifizierungsstelle, das verwendet werden kann, um die gesamte vertrauenswürdige Zertifikatkette zu überprüfen.
Ändern Sie das Lenovo XClarity Administrator-Serverzertifikat nicht, während eine verwaltete Einheit offline
ist. Sie müssen die Verbindung wiederherstellen, bevor Sie Lenovo XClarity Administrator bearbeiten. Andernfalls können zusätzliche Schritte erforderlich werden, um die Konnektivitätsprobleme zu beheben (siehe Ein nicht vertrauenswürdiges Serverzertifikat beheben).
Zu dieser Aufgabe
Dieser Abschnitt enthält Empfehlungen, die dazu dienen, eine erfolgreiche, unterbrechungsfreie Kommunikation zwischen Lenovo XClarity Administrator und den verwalteten Einheiten zu gewährleisten. Detaillierte Anweisungen dazu, wie Sie eine Zertifikatssignieranforderung generieren und ein signiertes Zertifikat importieren, finden Sie in der Dokumentation zu Ihrer Einheit.
Wenn Lenovo XClarity Administrator ein oder mehrere Gehäuse, Rack-Server und Tower-Server verwaltet und die intern signierten Lenovo XClarity Administrator-Standardzertifikate derzeit auf Lenovo XClarity Administrator und den verwalteten Einheiten installiert sind, können Sie angepasste Serverzertifikate implementieren.
Wenn das extern signierte Serverzertifikat auf der Einheit installiert wird, bevor Sie versuchen, die Einheit durch Lenovo XClarity Administrator zu verwalten, sind keine weiteren Schritte erforderlich. Um ein angepasstes Serverzertifikat in Einheiten zu implementieren, für die das Lenovo XClarity Administrator-Management verwendet wird, müssen Sie einen der folgenden Schritte ausführen, damit eine fortlaufende Konnektivität zwischen dem Verwaltungsserver und den Einheiten sichergestellt wird.
Vorgehensweise
Führen Sie eine der folgenden Optionen aus, um das angepasste, extern signierte Serverzertifikat in verwalteten Gehäusen oder Servern zu implementieren.
Wenn Lenovo XClarity Administrator ein Zertifikat verwendet, das von derselben Zertifizierungsstelle wie die verwalteten Einheiten signiert wurde, führen Sie die Schritte in Angepasste Serverzertifikate in Lenovo XClarity Administrator implementieren aus, bevor Sie die Zertifikate auf den verwalteten Einheiten installieren. Durch die Installation der Lenovo XClarity Administrator-Zertifikatskette von derselben Zertifizierungsstelle als Erstes wird sichergestellt, dass sich die Zertifikatskette im Lenovo XClarity Administrator-Truststore befindet und Lenovo XClarity Administrator den Einheiten nach der Installation der extern signierten Zertifikate vertrauen kann.
Fügen Sie dem Lenovo XClarity Administrator-Truststore die extern signierten Zertifikate in den CA-Signierungsketten hinzu.
Sie müssen das CA-Stammzertifikat und alle Zwischenzertifikate jeweils einzeln zum Lenovo XClarity Administrator-Truststore hinzufügen. Die Reihenfolge ist irrelevant. Jedes Zertifikat muss einmal installiert werden. Wenn alle Einheiten dieselbe Zertifizierungsstelle und Zwischenzertifikate verwenden, müssen die Zertifizierungsstelle und alle Zwischenzertifikate einmal im Lenovo XClarity Administrator-Truststore installiert sein. Wenn mehr als eine Zertifizierungsstelle oder eine Zwischenzertifizierungsstelle verwendet werden, müssen Sie sicherstellen, dass alle eindeutigen CA-Stammzertifikate oder Zwischenzertifikate, die in der Signierungskette einer verwalteten Einheit verwendet werden, mit den unten stehenden Schritten importiert werden.
AnmerkungFügen Sie während dieser Schritte keine Nicht-CA-Serverzertifikate hinzu.Führen Sie die folgenden Schritte für jedes Zertifikat im Paket aus.
Wählen Sie in der Lenovo XClarity Administrator-Menüleiste aus, um die Seite „Sicherheit“ anzuzeigen.
Klicken Sie unter der Zertifikatsverwaltung in der linken Navigation auf Vertrauenswürdige Zertifikate.
Wählen Sie das Symbol Erstellen () aus, um das Dialogfeld Zertifikat hinzufügen anzuzeigen.
Geben Sie eine Zertifikatsdatei im Format PEM oder DER an oder fügen Sie das Zertifikatspaket im PEM-Format ein.
Klicken Sie auf Erstellen, um die Zertifikaterstellung abzuschließen.
Nach der Installation der CA-Signierungskette vertraut Lenovo XClarity Administrator Verbindungen zu CIM-Servern auf dem CMM und dem Management-Controller, auf denen das extern signierte Serverzertifikat installiert ist.
Importieren Sie die extern signierten Zertifikate in die verwalteten Einheiten.
AnmerkungWenn die erforderlichen Zertifikate nicht imLenovo XClarity Administrator-Truststore vorliegen, geht die Konnektivität zwischen Lenovo XClarity Administrator und der verwalteten Einheit verloren. Führen Sie die Schritte in Ein nicht vertrauenswürdiges Serverzertifikat beheben aus, um die Verbindung wiederherzustellen. WichtigDiese Option geht mit einem temporären Verbindungsausfall einher. Daher wird eine der vorherigen Möglichkeiten empfohlen.