Sie können ein neues Zertifizierungsstellen‑ oder Serverzertifikat generieren, um das aktuelle, selbst signierte Zertifikat zu ersetzen, oder ein von Lenovo XClarity Administrator generiertes Zertifikat wiederherstellen, wenn XClarity Administrator derzeit ein angepasstes extern signiertes Serverzertifikat verwendet. Das neue, selbst signierte Serverzertifikat wird dann von den Authentifizierungs-, HTTPS- und CIM-Servern auf XClarity Administrator genutzt. Es wird auch automatisch auf allen verwalteten Einheiten bereitgestellt.
Vorbereitende Schritte
Wenn Sie das XClarity Administrator Zertifikat neu generieren oder hochladen, wird XClarity Administrator neu gestartet.
Das neue CA-Zertifikat wird nach der Generierung automatisch in die Truststores sämtlicher CMMs und Baseboard Management Controller in allen verwalteten Gehäusen, Rack- und Tower-Servern implementiert, um vertrauenswürdige Authentifizierungsserververbindungen zu gewährleisten. Wenn beim Implementieren des CA-Stammzertifikats ein Fehler auftritt, laden Sie es von der Zertifizierungsstellenseite herunter und importieren Sie es manuell in den Truststore aller verwalteten Einheiten, für die es nicht erfolgreich bereitgestellt werden konnte, bevor Sie ein neues Serverzertifikat generieren.
Wenn Sie das CA-Zertifikat neu generieren möchten, planen Sie Zeit ein, um es zu generieren, mögliche Bereitstellungsfehler zu beheben und das Serverzertifikat zeitnah neu zu generieren.
Nachdem Sie ein neues CA-Stammzertifikat generiert haben, kann es u. U. zu Kommunikationsfehlern kommen oder Sie können sich bei einer Einheit erst anmelden, wenn das Serverzertifikat neu generiert und signiert wurde.
In XClarity Administrator v1.1.1 und früher müssen Sie das CA-Stammzertifikat in den Truststore jedes CMMs und Management-Controllers importieren. Weitere Informationen zum Importieren des CA-Stammzertifikats finden Sie in der Dokumentation für das CMM und den Management-Controller.
Wenn das Stammzertifikat nach der Aktivierung von SAML neu generiert wird, melden Sie sich mit einem lokalen XClarity Administrator-Account an und konfigurieren Sie SAML neu.
Vorgehensweise
Gehen Sie wie folgt vor, um ein selbst signiertes Serverzertifikat auf XClarity Administrator wiederherzustellen.
Das derzeit in XClarity Administrator verwendete Serverzertifikat, ob selbst oder extern signiert, wird weiterhin genutzt, bis ein neues Serverzertifikat neu generiert und signiert wurde.
- Optional: : Generieren Sie ein neues CA-Stammzertifikat.
- Wählen Sie in der XClarity Administrator-Menüleiste aus, um die Seite Sicherheit anzuzeigen.
- Klicken Sie im Abschnitt für die Zertifikatsverwaltung auf Zertifizierungsstelle.
- Wählen Sie Stammzertifikat der Zertifizierungsstelle neu generieren aus.
Wenn der Zertifizierungsstellenschlüssel und das -zertifikat erfolgreich neu generiert wurden, sehen Sie ein Dialogfenster mit dem Status der Jobs, die dazu dienen, das Zertifikat für alle CMMs und Management-Controller als vertrauenswürdiges LDAP-Zertifikat bereitzustellen (für Converged-, NeXtScale- und System x-Server). In diesem Dialogfenster und auf der Jobüberwachungsseite wird der Erfolg oder Misserfolg von jedem dieser Bereitstellungsjobs angezeigt.
Wenn einer der Jobs fehlschlägt, schließen Sie die folgenden Schritte zum Herunterladen des CA-Stammzertifikats ab. Importieren Sie dann das Stammzertifikat manuell als vertrauenswürdiges LDAP-Zertifikat in die Einheiten, bei denen ein Fehler aufgetreten ist.
- Optional: : Laden Sie das CA-Stammzertifikat auf das Hostsystem herunter und importieren Sie es in den Webbrowser.
- Klicken Sie in der XClarity Administrator-Menüleiste auf , um die Seite „Sicherheit“ anzuzeigen.
- Klicken Sie im Abschnitt für die Zertifikatsverwaltung auf Zertifizierungsstelle.
- Wählen Sie Stammzertifikat der Zertifizierungsstelle herunterladen aus. Das aktuelle CA-Stammzertifikat wird im Dialogfenster „Zertifizierungsstellen-Stammzertifikat“ angezeigt.
- Wählen Sie In Datei speichern aus, um das CA-Stammzertifikat auf dem Hostsystem zu speichern.
- Befolgen Sie die Anweisungen für Ihren Webbrowser und die Webbrowser, die andere Benutzer für den Zugriff auf XClarity Administrator verwenden, um das Zertifikat als vertrauenswürdige Stammzertifizierungsstelle zu importieren.
- Generieren Sie ein neues Serverzertifikat und signieren Sie das Zertifikat mit dem neuen CA-Stammzertifikat.
- Klicken Sie auf der Seite „Sicherheit“ im Abschnitt für die Zertifikatsverwaltung auf Serverzertifikat.
- Wechseln Sie auf die Registerkarte Serverzertifikat neu generieren.
- Füllen Sie die Felder auf der Seite „Serverzertifikat neu generieren“ aus:
- Land oder Region
- Staat oder Bundesland
- Ort oder Standort
- Anordnung
- Organisationseinheit
- Allgemeiner Name
- Ungültig vor Datum
- Ungültig vor Zeit
- Ungültig nach Datum
- Ungültig nach Zeit
- Klicken Sie auf Zertifikat neu generieren.
- Wenn Sie selbst signierte Zertifikate auf den verwalteten CMMs und den Management-Controllern (für Converged‑, NeXtScale‑, ThinkSystem‑ und System x-Server) neu generieren: Importieren Sie nach der Neugenerierung des Zertifikats auf allen Einheiten das neue Einheitenzertifikat in den XClarity Administrator-Truststore (siehe Ein nicht vertrauenswürdiges Serverzertifikat beheben). Alternativ können Sie das Zertifikat manuell von der Einheit herunterladen und es in XClarity Administrator auf der Seite Vertrauenswürdige Zertifikate importieren.
In XClarity Administrator v1.1.0 und früher startet der Web-Server nach der Neugenerierung eines Zertifikats neu und alle Browsersitzungen werden automatisch geschlossen. In XClarity Administrator v1.1.1 und höher beginnt XClarity Administrator mit der Verwendung des neuen Zertifikats, ohne die vorhandenen Sitzungen zu beenden. Neue Sitzungen werden mit dem neuen Zertifikat gestartet. Starten Sie den Webbrowser neu. Jetzt können Sie überprüfen, dass das neue Zertifikat verwendet wird.
- Wenn Sie selbst signierte Zertifikate auf den verwalteten CMMs und den Management-Controllern (für Converged‑, NeXtScale‑, ThinkSystem‑ und System x-Server) neu generieren: Importieren Sie nach der Neugenerierung des Zertifikats auf allen Einheiten das neue Einheitenzertifikat in den XClarity Administrator-Truststore (siehe Ein nicht vertrauenswürdiges Serverzertifikat beheben). Alternativ können Sie das Zertifikat manuell von der Einheit herunterladen und es in XClarity Administrator auf der Seite Vertrauenswürdige Zertifikate importieren.