Zum Hauptinhalt springen

Ein angepasstes, extern signiertes Serverzertifikat installieren

Sie können ein von einer privaten oder einer kommerziellen Zertifizierungsstelle (Certificate Authority, CA) signiertes Serverzertifikat verwenden.

Vorbereitende Schritte

Stellen Sie sicher, dass es sich bei der Stammzertifizierungsstelle um eine von Ihrer Organisation generierte handelt, die für das Signieren von Zertifikaten innerhalb dieser Organisation verwendet wird, oder eine allgemein vertrauenswürdige und weltweit bekannte Zertifizierungsstelle (siehe Webseite „Liste der vertrauenswürdigen Zertifizierungsstellen“).

Stellen Sie sicher, dass die Algorithmen für die Schlüssel und Signaturen des CA-Stammzertifikats unterstützt werden. Es werden nur RSA-3072/SHA-384‑ und RSA-2048/SHA-256-Signaturen unterstützt. RSA-PSS-Signaturen werden derzeit nicht unterstützt.

Stellen Sie sicher, dass auf allen verwalteten Einheiten die aktuelle Firmware installiert ist, bevor Sie einen Task starten, der möglicherweise die Verbindungen zwischen den Einheiten beeinträchtigt. Informationen zu Firmware-Upgrades auf verwalteten Einheiten finden Sie unter Firmware auf verwalteten Einheiten aktualisieren.

Überprüfen Sie, ob XClarity Administrator mit allen verwalteten Einheiten erfolgreich kommuniziert. Klicken Sie dazu auf Hardware und dann auf den Einheitentyp (Gehäuse oder Server). Es wird eine Seite mit einer Tabellenansicht aller verwalteten Einheiten dieses Typs angezeigt. Wenn eine Einheit den Status „Offline“ hat, stellen Sie sicher, dass die Netzwerkverbindung zwischen dem Verwaltungsserver und der Einheit funktioniert, und lösen Sie ggf. nicht vertrauenswürdige Serverzertifikate nach Bedarf auf (siehe Ein nicht vertrauenswürdiges Serverzertifikat beheben).

Zu dieser Aufgabe

Wenn Sie ein angepasstes, extern signiertes Serverzertifikat in XClarity Administrator oder einem Baseboard Management Controller oder CMM installieren, müssen Sie das Zertifikatspaket bereitstellen, das die vollständige CA-Signierungskette enthält.

Wenn Sie ein angepasstes Serverzertifikat in einem nicht durch XClarity Administrator verwalteten Gehäuse oder Server installieren, müssen Sie das Zertifikatspaket zuerst auf dem CMM installieren, bevor Sie seine Installation auf allen Management-Controllern im CMM ausführen.

Wenn Sie ein angepasstes Serverzertifikat auf einem verwalteten Gehäuse installieren, fügen Sie zuerst dem XClarity Administrator-Truststore die CA-Signierungskette hinzu und installieren das Serverzertifikat auf jedem Management-Controller und dem CMM. Anschließend laden Sie das Serverzertifikat in XClarity Administrator hoch. Beachten Sie, dass dies einfach umgangen werden kann, indem alle CA-Stammzertifikate, aber nicht jeder Zertifikatskette von jeder verwalteten Einheit als vertrauenswürdig gekennzeichnet/hinzugefügt werden. Die Anzahl der importierten Zertifikate sollte mit der Anzahl der CA-Stammzertifikate (CA-Stammzertifikate + alle dazwischenliegenden Zertifizierungsstellenzertifikate) übereinstimmen. Siehe Angepasste Serverzertifikate in verwaltete Einheiten implementieren für weitere Informationen.

Sie müssen das CA-Stammzertifikat und alle Zwischenzertifikate jeweils einzeln zum XClarity Administrator-Truststore hinzufügen. Die Reihenfolge ist irrelevant. Jedes Zertifikat muss einmal installiert werden. Wenn alle Einheiten dieselbe Zertifizierungsstelle und Zwischenzertifikate verwenden, müssen die Zertifizierungsstelle und alle Zwischenzertifikate einmal im XClarity Administrator-Truststore installiert sein. Wenn mehr als eine Zertifizierungsstelle oder eine Zwischenzertifizierungsstelle verwendet werden, müssen Sie sicherstellen, dass alle eindeutigen CA-Stammzertifikate oder Zwischenzertifikate, die in der Signierungskette einer verwalteten Einheit verwendet werden, mit den unten stehenden Schritten importiert werden.

Tipp
Wenn das neue Serverzertifikat nicht von einem vertrauenswürdigen Drittanbieter signiert wurde, wird das nächste Mal, wenn Sie eine Verbindung mit XClarity Administrator herstellen, im Browser eine Sicherheitsmeldung angezeigt. In einem Dialogfeld werden Sie aufgefordert, das neue Zertifikat im Browser zu akzeptieren. Sie können ein heruntergeladenes Serverzertifikat in die Liste mit vertrauenswürdigen Zertifikaten im Webbrowser importieren, um die Sicherheitsmeldungen zu vermeiden. Weitere Informationen zum Importieren von Serverzertifikaten finden Sie unter Zertifizierungsstellenzertifikat in einen Webbrowser importieren.
  • Angepasste Serverzertifikate in Lenovo XClarity Administrator implementieren
    Sie können eine Zertifikatssignieranforderung (Certificate Signing Request, CSR) zum Signieren durch die Zertifizierungsstelle Ihrer Organisation oder eine unabhängige Zertifizierungsstelle generieren. Die Zertifikatssignieranforderung erstellt eine vollständige Zertifikatskette, die Sie importieren und anstelle der eindeutigen, intern signierten Standardzertifikate verwenden können.
  • Angepasste Serverzertifikate in verwaltete Einheiten implementieren
    Sie können angepasste Serverzertifikate in verwaltete Einheiten implementieren, indem Sie das extern signierte Zertifikatspaket mithilfe des CMMs und des Management-Controllers für diese Einheiten hochladen und installieren.