Ein angepasstes, extern signiertes Serverzertifikat installieren
Sie können ein von einer privaten oder einer kommerziellen Zertifizierungsstelle (Certificate Authority, CA) signiertes Serverzertifikat verwenden.
Vorbereitende Schritte
Stellen Sie sicher, dass es sich bei der Stammzertifizierungsstelle um eine von Ihrer Organisation generierte handelt, die für das Signieren von Zertifikaten innerhalb dieser Organisation verwendet wird, oder eine allgemein vertrauenswürdige und weltweit bekannte Zertifizierungsstelle (siehe Webseite „Liste der vertrauenswürdigen Zertifizierungsstellen“).
Stellen Sie sicher, dass die Algorithmen für die Schlüssel und Signaturen des CA-Stammzertifikats unterstützt werden. Es werden nur RSA-3072/SHA-384‑ und RSA-2048/SHA-256-Signaturen unterstützt. RSA-PSS-Signaturen werden derzeit nicht unterstützt.
Stellen Sie sicher, dass auf allen verwalteten Einheiten die aktuelle Firmware installiert ist, bevor Sie einen Task starten, der möglicherweise die Verbindungen zwischen den Einheiten beeinträchtigt. Informationen zu Firmware-Upgrades auf verwalteten Einheiten finden Sie unter Firmware auf verwalteten Einheiten aktualisieren.
Überprüfen Sie, ob XClarity Administrator mit allen verwalteten Einheiten erfolgreich kommuniziert. Klicken Sie dazu auf Hardware und dann auf den Einheitentyp (Gehäuse oder Server). Es wird eine Seite mit einer Tabellenansicht aller verwalteten Einheiten dieses Typs angezeigt. Wenn eine Einheit den Status Offline
hat, stellen Sie sicher, dass die Netzwerkverbindung zwischen dem Verwaltungsserver und der Einheit funktioniert, und lösen Sie ggf. nicht vertrauenswürdige Serverzertifikate nach Bedarf auf (siehe Ein nicht vertrauenswürdiges Serverzertifikat beheben).
Zu dieser Aufgabe
Wenn Sie ein angepasstes, extern signiertes Serverzertifikat in XClarity Administrator oder einem Baseboard Management Controller oder CMM installieren, müssen Sie das Zertifikatspaket bereitstellen, das die vollständige CA-Signierungskette enthält.
Wenn Sie ein angepasstes Serverzertifikat in einem nicht durch XClarity Administrator verwalteten Gehäuse oder Server installieren, müssen Sie das Zertifikatspaket zuerst auf dem CMM installieren, bevor Sie seine Installation auf allen Management-Controllern im CMM ausführen.
Wenn Sie ein angepasstes Serverzertifikat auf einem verwalteten Gehäuse installieren, fügen Sie zuerst dem XClarity Administrator-Truststore die CA-Signierungskette hinzu und installieren das Serverzertifikat auf jedem Management-Controller und dem CMM. Anschließend laden Sie das Serverzertifikat in XClarity Administrator hoch. Beachten Sie, dass dies einfach umgangen werden kann, indem alle CA-Stammzertifikate, aber nicht jeder Zertifikatskette von jeder verwalteten Einheit als vertrauenswürdig gekennzeichnet/hinzugefügt werden. Die Anzahl der importierten Zertifikate sollte mit der Anzahl der CA-Stammzertifikate (CA-Stammzertifikate + alle dazwischenliegenden Zertifizierungsstellenzertifikate) übereinstimmen. Siehe Angepasste Serverzertifikate in verwaltete Einheiten implementieren für weitere Informationen.
Sie müssen das CA-Stammzertifikat und alle Zwischenzertifikate jeweils einzeln zum XClarity Administrator-Truststore hinzufügen. Die Reihenfolge ist irrelevant. Jedes Zertifikat muss einmal installiert werden. Wenn alle Einheiten dieselbe Zertifizierungsstelle und Zwischenzertifikate verwenden, müssen die Zertifizierungsstelle und alle Zwischenzertifikate einmal im XClarity Administrator-Truststore installiert sein. Wenn mehr als eine Zertifizierungsstelle oder eine Zwischenzertifizierungsstelle verwendet werden, müssen Sie sicherstellen, dass alle eindeutigen CA-Stammzertifikate oder Zwischenzertifikate, die in der Signierungskette einer verwalteten Einheit verwendet werden, mit den unten stehenden Schritten importiert werden.