Zum Hauptinhalt springen

Mit Sicherheitszertifikaten arbeiten

Lenovo XClarity Administrator verwendet SSL-Zertifikate für die Einrichtung von sicheren und vertrauenswürdigen Kommunikationsverbindungen zwischen XClarity Administrator und den verwalteten Einheiten (z. B. Gehäuse und Serviceprozessoren in System x Servern) sowie für die Herstellung von Kommunikationsverbindungen mit XClarity Administrator durch Benutzer oder mit anderen Services. Standardmäßig verwenden XClarity Administrator, CMMs und Management-Controller selbst signierte, von XClarity Administrator generierte Zertifikate, die von einer internen Zertifizierungsstelle (Certificate Authority, CA) ausgestellt wurden.

Vorbereitende Schritte

Dieser Abschnitt richtet sich an Administratoren mit einem grundlegenden Verständnis der SSL-Standards und SSL-Zertifikate, einschließlich ihrer Art und Verwaltung. Allgemeine Informationen zu Zertifikaten mit öffentlichen Schlüsseln finden Sie unter X.509-Webseite in Wikipedia und Webseite „Internet X.509 Public Key-Infrastrukturzertifikat und Zertifikatsperrliste (CRL) Profil (RFC5280)“.

Zu dieser Aufgabe

Das eindeutige, selbst signierte Standardserverzertifikat, das in jeder Instanz von XClarity Administrator generiert wird, bietet eine ausreichende Sicherheit für vielen Umgebungen. Sie können die Zertifikate wahlweise von XClarity Administrator verwalten lassen oder eine aktivere Rolle übernehmen und die Serverzertifikate selbst anpassen oder ersetzen. XClarity Administrator bietet verschiedene Optionen zum Anpassen von Zertifikaten an Ihre Umgebung. Beispielsweise können Sie Folgendes auswählen:
  • Generieren Sie ein neues Schlüsselpaar, indem Sie die interne Zertifizierungsstelle und/oder das Endserverzertifikat erneut generieren, das spezifische Werte für Ihre Organisation verwendet.
  • Generieren Sie eine Zertifikatssignieranforderung (CSR), die an eine Zertifizierungsstelle Ihrer Wahl gesendet werden kann. Hier wird ein benutzerdefiniertes Zertifikat signiert, das zu XClarity Administrator hochgeladen und als Endserverzertifikat für alle gehosteten Services verwendet werden kann.
  • Laden Sie das Serverzertifikat in Ihr lokales System herunter und importieren Sie es in die Liste mit vertrauenswürdigen Zertifikaten im Webbrowser.

XClarity Administrator bietet verschiedene Services, die eingehende SSL/TLS-Verbindungen akzeptieren. Wenn sich ein Client, z. B. eine verwaltete Einheit oder ein Webbrowser, mit einem dieser Services verbindet, stellt XClarity Administrator sein Serverzertifikat bereit, das vom Client identifiziert wird, der eine Verbindung herstellen will. Der Client muss über eine Liste mit Zertifikaten verfügen, denen er vertraut. Wenn das Serverzertifikat von XClarity Administrator nicht in der Liste des Client enthalten ist, trennt der Client die Verbindung mit XClarity Administrator, damit keine vertraulichen Informationen mit einer nicht vertrauenswürdigen Quelle ausgetauscht werden.

XClarity Administrator fungiert bei der Kommunikation mit verwalteten Einheiten und externen Services als Client. Wenn XClarity Administrator eine Verbindung mit einer Einheit oder einem externen Service herstellt, stellen diese ihr jeweiliges Serverzertifikat für die Identifikation von XClarity Administrator bereit. XClarity Administrator hält eine Liste von vertrauenswürdigen Zertifikaten vor. Wenn das vertrauenswürdige Zertifikat, das von der verwalteten Einheit oder dem externen Service bereitgestellt wird, nicht in der Liste vorhanden ist, trennt XClarity Administrator die entsprechende Verbindung, damit keine vertraulichen Informationen mit einer nicht vertrauenswürdigen Quelle ausgetauscht werden.

Die folgende Zertifikatskategorie wird von XClarity Administrator Services verwendet und sollte von allen Clients, die eine Verbindung herstellen, als vertrauenswürdig gekennzeichnet werden.

  • Serverzertifikat. Während des ersten Boots werden ein eindeutiger Schlüssel und ein selbst signiertes Zertifikat generiert. Diese werden als die Standard-Stammzertifizierungsstelle verwendet, die auf der Seite „Zertifizierungsstelle“ in den Sicherheitseinstellungen von XClarity Administrator verwaltet wird. Es ist nicht notwendig, das Stammzertifikat neu zu generieren, sofern kein Schlüssel kompromittiert wurde oder eine Unternehmensrichtlinie besteht, nach der alle Zertifikate regelmäßig ersetzt werden müssen (siehe Selbst signiertes Lenovo XClarity Administrator Serverzertifikat neu generieren oder wiederherstellen).

    Bei der Erstkonfiguration wird auch ein separater Schlüssel generiert, ein Serverzertifikat erstellt und signiert und ein Zertifikat erstellt, das durch die interne Zertifizierungsstelle signiert wird. Dieses Zertifikat dient als standardmäßiges XClarity Administrator-Serverzertifikat. Es wird automatisch jedes Mal neu generiert, wenn XClarity Administrator ermittelt, dass seine Netzwerkadressen (IP‑ oder DNS-Adressen) sich geändert haben. So wird sichergestellt, dass das Zertifikat die korrekten Adressen für den Server enthält. Das Zertifikat kann nach Bedarf angepasst und generiert werden (siehe Selbst signiertes Lenovo XClarity Administrator Serverzertifikat neu generieren oder wiederherstellen).

    Sie können festlegen, dass ein extern signiertes Serverzertifikat anstelle des standardmäßig selbst signierten Serverzertifikats verwendet wird, indem Sie eine Zertifikatssignieranforderung (CSR) generieren, die CSR von einer privaten oder kommerziellen Stammzertifizierungsstelle signieren lassen und dann die vollständige Zertifikatskette in XClarity Administrator importieren (siehe Angepasste Serverzertifikate in Lenovo XClarity Administrator implementieren).

    Wenn Sie das standardmäßig selbst signierte Serverzertifikat verwenden möchten, wird empfohlen, das Serverzertifikat in Ihren Webbrowser als vertrauenswürdige Stammzertifizierungsstelle zu importieren, um Fehlernachrichten im Browser zu vermeiden (siehe Zertifizierungsstellenzertifikat in einen Webbrowser importieren).

  • Vom Betriebssystem implementiertes Zertifikat. Der Betriebssystem-Implementierungsservice verwendet ein separates Zertifikat, um zu gewährleisten, dass der Betriebssystem-Installer während der Installation des Systems eine sichere Verbindung mit dem Implementierungsservice herstellen kann. Wenn der Schlüssel kompromittiert wurde, können Sie ihn neu generieren, indem Sie den Verwaltungsserver neu starten.

Die folgende Kategorie (Truststores) von Zertifikaten wird von XClarity Administrator Clients verwendet.

  • Vertrauenswürdige Zertifikate.

    Dieser Truststore verwaltet Zertifikate, die zum Herstellen einer sicheren Verbindung zu lokalen Ressourcen verwendet werden, wenn XClarity Administrator als Client fungiert. Beispiele für lokale Ressourcen sind verwaltete Einheiten, lokale Software bei der Ereignisweiterleitung und ein externer LDAP-Server.

  • Zertifikate für externe Services. Dieser Truststore verwaltet Zertifikate, die zum Herstellen einer sicheren Verbindung mit externen Services verwendet werden, wenn XClarity Administrator als Client fungiert. Beispiele für externe Services sind die Lenovo Onlineunterstützungsservices, die zum Abrufen von Garantieinformationen oder Erstellen von Service-Tickets verwendet werden, externe Software (z. B. Splunk), an die Ereignisse weitergeleitet werden können, und Push-Benachrichtigungsserver von Apple und Google, wenn in Lenovo XClarity Mobile Push-Benachrichtigungen für eine iOS‑ oder Android-Einheit aktiviert sind. Er enthält vorkonfigurierte, vertrauenswürdige Zertifikate von Stammzertifizierungsstellen von bestimmten, allgemein vertrauenswürdigen und weltweit bekannten Zertifizierungsstellen (z. B. Digicert und Globalsign).

    Wenn Sie XClarity Administrator für die Verwendung einer Funktion konfigurieren, die eine Verbindung zu einem anderen externen Service erfordert, lesen Sie die Dokumentation, um herauszufinden, ob Sie manuell ein Zertifikat zu diesem Truststore hinzufügen müssen.

    Beachten Sie, dass Zertifikate in diesem Truststore als nicht vertrauenswürdig eingestuft werden, wenn Verbindungen für andere Services (z. B. LDAP) hergestellt werden, es sei denn, Sie fügen sie auch dem grundlegenden Truststore mit vertrauenswürdigen Zertifikaten hinzu. Das Entfernen von Zertifikaten aus diesem Truststore verhindert die erfolgreiche Ausführung der entsprechenden Dienste.

XClarity Administrator unterstützt RSA-3072/SHA-384‑, RSA-2048/SHA-256‑ und ECDSA p256/SHA-256-Zertifikatsignaturen. Andere Algorithmen wie ein stärkerer SHA-1 oder SHA-Hashes können abhängig von Ihrer Konfiguration unterstützt werden. Ziehen Sie den ausgewählten Verschlüsselungsmodus in XClarity Administrator (siehe Verschlüsselungseinstellungen auf dem Verwaltungsserver konfigurieren), die ausgewählten Sicherheitseinstellungen für verwaltete Server (Sicherheitseinstellungen für einen verwalteten Server konfigurieren) und die Funktionen von anderer Software und Einheiten in Ihrer Umgebung in Betracht. ECDSA-Zertifikate, die auf bestimmten (einschließlich p256), aber nicht allen elliptischen Kurven basieren, werden auf der Seite „Vertrauenswürdige Zertifikate“ und in der Signierungskette des XClarity Administrator-Zertifikats unterstützt, aber werden aktuell nicht für die Verwendung durch das XClarity Administrator-Serverzertifikat unterstützt.
Anmerkung
XClarity Administrator verwendet RSA-3072/SHA-384-Zertifikatsignaturen für Server mit XCC2 im „Strikt“-Modus.
  • Ein angepasstes, extern signiertes Serverzertifikat installieren
    Sie können ein von einer privaten oder einer kommerziellen Zertifizierungsstelle (Certificate Authority, CA) signiertes Serverzertifikat verwenden.
  • Selbst signiertes Lenovo XClarity Administrator Serverzertifikat neu generieren oder wiederherstellen
    Sie können ein neues Zertifizierungsstellen‑ oder Serverzertifikat generieren, um das aktuelle, selbst signierte Zertifikat zu ersetzen, oder ein von Lenovo XClarity Administrator generiertes Zertifikat wiederherstellen, wenn XClarity Administrator derzeit ein angepasstes extern signiertes Serverzertifikat verwendet. Das neue, selbst signierte Serverzertifikat wird dann von den Authentifizierungs-, HTTPS- und CIM-Servern auf XClarity Administrator genutzt. Es wird auch automatisch auf allen verwalteten Einheiten bereitgestellt.
  • Ein nicht vertrauenswürdiges Serverzertifikat beheben
    Das Serverzertifikat, das zur Herstellung einer sicheren Verbindung mit einer verwalteten Einheit verwendet wird, kann zu einem nicht vertrauenswürdiges Zertifikat werden. Wenn die Ursache des Problems eine zurückgestufte CA-Stammzertifikatsversion der Einheit oder ein selbst signiertes Einheitenzertifikat im Lenovo XClarity Administrator-Truststore ist, kann XClarity Administrator das nicht vertrauenswürdige Serverzertifikat auflösen.
  • Das Serverzertifikat herunterladen
    Sie können eine Kopie des aktuellen Serverzertifikats im Format PEM oder DER auf das lokale System herunterladen. Anschließend können Sie das Zertifikat in den Webbrowser oder eine andere Anwendung importieren (zum Beispiel Lenovo XClarity Mobile oder Lenovo XClarity Integrator).
  • Zertifizierungsstellenzertifikat in einen Webbrowser importieren
    Möglicherweise erhalten Sie Sicherheitswarnmeldungen, wenn Sie im Webbrowser auf Lenovo XClarity Administrator zugreifen. Sie können dies vermeiden, indem Sie eine Kopie des aktuellen Zertifikats der Zertifizierungsstelle (Certificate Authority, CA) im Format PEM oder DER auf Ihr lokales System herunterladen und dieses Zertifikat in die Liste mit vertrauenswürdigen Zertifikaten im Webbrowser importieren.
  • Eine Zertifikatswiderrufliste hinzufügen und ersetzen
    Eine Zertifikatswiderrufliste ist eine Liste von Zertifikaten, die widerrufen wurden und nicht mehr vertrauenswürdig sind. Ein Zertifikat kann widerrufen werden, wenn es nicht ordnungsgemäß von der Zertifizierungsstelle ausgegeben wurde oder wenn sein Schlüssel unrechtmäßig weitergegeben, verloren oder gestohlen wurde.