Saltar al contenido principal

Desplegar certificados de servidor personalizado en Lenovo XClarity Administrator

Puede elegir generar una solicitud de firma de certificado (CSR) para firmar con la autoridad de certificación de su organización o una autoridad de certificación de terceros. El CSR crea una cadena de certificado completa que se puede importar y utilizar en lugar de los certificados firmados internamente únicos predeterminados.

Antes de empezar

Asegúrese de que los detalles del certificado incluyan los siguientes requisitos.

  • El uso de clave debe contener

    • Acuerdo clave

    • Firma digital

    • Cifrado de clave

  • El uso de clave mejorada debe contener

    • Autenticación de servidor (1.3.6.1.5.5.7.3.1)

    • Autenticación de cliente (1.3.6.1.5.5.7.3.2)

Acerca de esta tarea

Atención
Si NIST SP 800-131A está habilitado (consulte Implementación de la conformidad con NIST SP 800-131A) y está utilizando o planea utilizar certificados personalizados o firmados externamente en un NIST, todos los certificados de la cadena deben basarse en las funciones hash SHA-256.

Después de cargar el certificado de servidor, XClarity Administrator intenta suministrar el nuevo certificado de la CA a todos los dispositivos gestionados. Si el proceso de aprovisionamiento se realiza correctamente, XClarity Administrator comienza a utilizar el nuevo certificado de servidor de inmediato. Si el proceso falla, se entregan mensajes de error que le indican que debe corregir los problemas en forma manual antes de aplicar el certificado de servidor importado recientemente. Después de corregir los errores, realice la instalación del certificado previamente cargado.

Nota
Si XClarity Administrator utilizaba ya un certificado firmado por la misma entidad raíz, la CA no necesita que se envíen a los dispositivos y XClarity Administrator comienza a utilizar el certificado de inmediato.

Después de cargar un certificado en XClarity Administrator versión 1.1.0 y anterior, el servidor web se reinicia y automáticamente cierra todas las sesiones del explorador. XClarity Administrator versión 1.1.1 y posterior se inicia con el nuevo certificado sin cerrar las sesiones existentes. Las nuevas sesiones se establecen utilizando el nuevo certificado. Para ver el nuevo certificado en uso, reinicie el navegador web.

Procedimiento

Para generar y desplegar un certificado de servidor personalizado firmado externamente en Lenovo XClarity Administrator, complete los pasos siguientes.

  1. Crear y descargar una solicitud de firma de certificado (CSR) para XClarity Administrator.
    1. En la barra de menús de XClarity Administrator, haga clic en Administración > Seguridad para mostrar la página Seguridad.
    2. Haga clic en Certificado de servidor en la sección Gestión de certificados para mostrar la página Certificado de servidor.
    3. Haga clic en la pestaña Generar solicitud de firma de certificado (CSR).
    4. Rellene los campos de la solicitud.

      • País o región

      • Estado o provincia

      • Ciudad o localidad

      • Organización

      • Unidad organizativa (opcional)

      • Nombre común

      Atención
      Seleccione un nombre común que coincida con la dirección IP o el nombre de host que XClarity Administrator utiliza para conectar con el dispositivo gestionado. Si no selecciona el valor correcto, se podrían producir conexiones no fiables.
    5. Opcional: Personalice los nombres alternativos de asunto (SAN) que se añaden a la extensión X.509 “subjectAltName” cuando se genera el CSR.

      De forma predeterminada, XClarity Administrator define automáticamente los nombres alternativos de asunto (SAN) para CSR según la dirección IP y el nombre de host que se detectó mediante las interfaces de red del sistema operativo invitado de XClarity Administrator. Puede personalizar, eliminar o agregar a estos valores SAN.

      El nombre que especifique debe ser válido para el tipo seleccionado:

      • directoryName (por ejemplo, cn=lxca-example,ou=dcg,dc=company,dc=com)

      • dNSName (por ejemplo, lxca-example.dcg.company.com)

      • ipAddress (por ejemplo, 192.0.2.0)

      • registeredID (por ejemplo, 1.2.3.4.55.6.5.99)

      • rfc822Name (por ejemplo, example@company.com)

      • uniformResourceIdentifier (por ejemplo, https://lxca-dev.dcg.company.com/example)

      Nota
      Todas las SAN que se enumeran en la tabla se validan, guardan y añaden a CSR solo después de que genere CSR en el paso siguiente.
    6. Haga clic en Generar archivo CSR. El certificado de servidor se muestra en el cuadro de diálogo Solicitud de firma de certificado.
    7. Haga clic en Guardar en archivo para guardar el certificado de servidor en el servidor host.
  2. Proporcione una entidad emisora de certificación de confianza (CA) para CSR. La CA firma el CSR y responde con un certificado de servidor.
  3. Cargue el certificado de servidor firmado externamente en XClarity Administrator. El contenido del certificado debe ser un conjunto que contiene el certificado raíz de la CA, el certificado intermedio y el certificado de servidor.
    1. En la barra de menús de XClarity Administrator, haga clic en Administración > Seguridad para mostrar la página Seguridad.
    2. Haga clic en Certificado de servidor en la sección Gestión de certificados.
    3. Haga clic en la pestaña Cargar certificado.
    4. Haga clic en Cargar certificado para mostrar el cuadro de diálogo Cargar certificado.
    5. Especifique un archivo de conjunto de certificados, en formato PEM, DER o PKCS7 o pegue el conjunto de certificados en formato PEM.
    6. Haga clic en Cargar para cargar el certificado de servidor y almacenarlo en el almacén de confianza de XClarity Administrator.