Saltar al contenido principal

Desplegar certificados de servidor personalizado en Lenovo XClarity Administrator

Puede elegir generar una solicitud de firma de certificado (CSR) para firmar con la autoridad de certificación de su organización o una autoridad de certificación de terceros. El CSR crea una cadena de certificado completa que se puede importar y utilizar en lugar de los certificados firmados internamente únicos predeterminados.

Antes de empezar

Asegúrese de que los detalles del certificado incluyan los siguientes requisitos.

  • El uso de clave debe contener

    • Acuerdo clave

    • Firma digital

    • Cifrado de clave

  • El uso de clave mejorada debe contener

    • Autenticación de servidor (1.3.6.1.5.5.7.3.1)

    • Autenticación de cliente (1.3.6.1.5.5.7.3.2)

Acerca de esta tarea

Atención
Si NIST SP 800-131A está habilitado (consulte Implementación de la conformidad con NIST SP 800-131A) y está utilizando o planea utilizar certificados personalizados o firmados externamente en un NIST, todos los certificados de la cadena deben basarse en las funciones hash SHA-256.

Después de cargar el certificado de servidor, XClarity Administrator intenta suministrar el nuevo certificado de la CA a todos los dispositivos gestionados. Si el proceso de aprovisionamiento se realiza correctamente, XClarity Administrator comienza a utilizar el nuevo certificado de servidor de inmediato. Si el proceso falla, se entregan mensajes de error que le indican que debe corregir los problemas en forma manual antes de aplicar el certificado de servidor importado recientemente. Después de corregir los errores, realice la instalación del certificado previamente cargado.

Nota
Si XClarity Administrator utilizaba ya un certificado firmado por la misma entidad raíz, la CA no necesita que se envíen a los dispositivos y XClarity Administrator comienza a utilizar el certificado de inmediato.

Después de cargar un certificado en XClarity Administrator versión 3.6 y anteriores, se establecen nuevas sesiones utilizando el nuevo certificado sin finalizar la sesión existente. Para ver el nuevo certificado en la sesión actual, reinicie el navegador web.

Para XClarity Administrator versión 4.0 y posterior, el servidor web se reinicia y finaliza automáticamente todas las sesiones del navegador. Para continuar trabajando en XClarity Administrator, debe iniciar sesión nuevamente.

Procedimiento

Para generar y desplegar un certificado de servidor personalizado firmado externamente en Lenovo XClarity Administrator, complete los pasos siguientes.

  1. Crear y descargar una solicitud de firma de certificado (CSR) para XClarity Administrator.
    1. En la barra de menús de XClarity Administrator, haga clic en Administración > Seguridad para mostrar la página Seguridad.
    2. Haga clic en Certificado de servidor en la sección Gestión de certificados para mostrar la página Certificado de servidor.
    3. Haga clic en la pestaña Generar solicitud de firma de certificado (CSR).
    4. Rellene los campos de la solicitud.

      • País o región

      • Estado o provincia

      • Ciudad o localidad

      • Organización

      • Unidad organizativa (opcional)

      • Nombre común

      Atención
      Seleccione un nombre común que coincida con la dirección IP o el nombre de host que XClarity Administrator utiliza para conectar con el dispositivo gestionado. Si no selecciona el valor correcto, se podrían producir conexiones no fiables.
    5. Opcional: Personalice, añada y elimine nombres alternativos de asunto en la extensión subjectAltName de X.509 cuando se genera la CSR. Todos los nombres alternativos de asunto que se enumeran en la tabla se validan, guardan y añaden a CSR solo después de que genere CSR en el paso siguiente.

      De forma predeterminada, XClarity Administrator define automáticamente los nombres alternativos de asunto (SAN) para CSR según la dirección IP y el nombre de host que se detectó mediante las interfaces de red del sistema operativo invitado de XClarity Administrator.

      Atención
      Los nombres alternativos del asunto deben incluir el nombre de dominio totalmente cualificado (FQDN) o la dirección IP del servidor de gestión, y el nombre del asunto debe establecerse con el FQDN del servidor de gestión. Compruebe que estos campos obligatorios estén presentes y sean correctos antes de iniciar el proceso de CSR para asegurarse de que el certificado resultante esté completo. Si faltan datos de certificado, puede que las conexiones no sean de confianza al intentar conectar la instancia de XClarity Administrator a Lenovo XClarity Orchestrator.

      El nombre que especifique debe ser válido para el tipo seleccionado.

      • directoryName (por ejemplo, cn=lxca-example,ou=dcg,dc=company,dc=com)

      • dNSName (por ejemplo, lxca-example.dcg.company.com)

      • ipAddress (por ejemplo, 192.0.2.0)

      • registeredID (por ejemplo, 1.2.3.4.55.6.5.99)

      • rfc822Name (por ejemplo, example@company.com)

      • uniformResourceIdentifier (por ejemplo, https://lxca-dev.dcg.company.com/example)

      Nota
      Todas las SAN que se enumeran en la tabla se validan, guardan y añaden a CSR solo después de que genere CSR en el paso siguiente.
    6. Haga clic en Generar archivo CSR. El certificado de servidor se muestra en el cuadro de diálogo Solicitud de firma de certificado.
      Importante

      • Compruebe que el certificado recién generado contiene el FQDN y la dirección IP como parte de los nombres alternativos del asunto.

      • Si esta instancia de XClarity Administrator la gestiona XClarity Orchestrator, asegúrese de que el certificado generado basado en la CSR esté configurado para utilizarlo como certificado de servidor y como certificado de cliente.

    7. Haga clic en Guardar en archivo para guardar el certificado de servidor en el servidor host.
  2. Proporcione una entidad emisora de certificación de confianza (CA) para CSR. La CA firma el CSR y responde con un certificado de servidor.
  3. Cargue el certificado de servidor firmado externamente en XClarity Administrator. El contenido del certificado debe ser un conjunto que contiene el certificado raíz de la CA, el certificado intermedio y el certificado de servidor.
    1. En la barra de menús de XClarity Administrator, haga clic en Administración > Seguridad para mostrar la página Seguridad.
    2. Haga clic en Certificado de servidor en la sección Gestión de certificados.
    3. Haga clic en la pestaña Cargar certificado.
    4. Haga clic en Cargar certificado para mostrar el cuadro de diálogo Cargar certificado.
    5. Especifique un archivo de conjunto de certificados, en formato PEM, DER o PKCS7 o pegue el conjunto de certificados en formato PEM.
    6. Haga clic en Cargar para cargar el certificado de servidor y almacenarlo en el almacén de confianza de XClarity Administrator.