Saltar al contenido principal

Trabajo con certificados de seguridad

Lenovo XClarity Administrator utiliza certificados SSL para establecer comunicaciones seguras y de confianza entre XClarity Administrator y sus dispositivos gestionados (como los chasis y los procesadores de servicios en servidores System x), así como comunicaciones con XClarity Administrator por los usuarios con o con diferentes dispositivos. De forma predeterminada, XClarity Administrator, los CMM y los controladores de gestión de la placa base utilizan certificados generados por XClarity Administrator que están autofirmados y han sido emitidos por una entidad de certificación interna.

Antes de empezar

Esta sección está dirigida a administradores que tienen un conocimiento básico del estándar SSL y los certificados SSL, incluidos lo que son y cómo gestionarlos. Para obtener información general sobre los certificados de clave pública, consulte Página web de X.509 en Wikipedia y Página web de Certificado de infraestructura clave pública X.509 y perfil de lista de revocación de certificados (CRL) (RFC5280).

Acerca de esta tarea

El certificado autofirmado de servidor predeterminado, que se genera de manera exclusiva en cada instancia de XClarity Administrator, proporciona suficiente seguridad para muchos entornos. Puede elegir permitir gestionar los certificados mediante XClarity Administrator o puede adoptar un papel más activo y personalizar o sustituir los certificados de servidor. XClarity Administrator proporciona opciones que le permiten personalizar certificados para su entorno. Por ejemplo, puede optar por:
  • Genere un nuevo par de claves regenerando la entidad de certificación interna o el certificado de servidor final que utilice valores específicos para su organización.
  • Generar una solicitud de firma de un certificado (CSR) que pueda enviarse a la entidad de certificación de su elección firmar un certificado personalizado que se pueda cargar después en XClarity Administrator para su uso como un certificado de servidor para todos los servicios alojados.
  • Descargar el certificado de servidor en su sistema local de forma que pueda importar dicho certificado en la lista de certificados de confianza de su navegador web.

XClarity Administrator proporciona varios servicios que aceptan conexiones SSL/TLS entrantes. Cuando un cliente, como un dispositivo gestionado o un navegador web, se conecta a uno de estos servicios, XClarity Administrator proporciona su certificado de servidor para ser identificado por el cliente que intenta realizar la conexión. El cliente debe mantener una lista de certificados en los que confía. Si el certificado de servidor de XClarity Administrator no está incluido en la lista del cliente, el cliente se desconecta de XClarity Administrator para evitar intercambiar cualquier información confidencial de seguridad con una fuente que no sea de confianza.

XClarity Administrator actúa como un cliente al comunicarse con los dispositivos gestionados y los servicios externos. Cuando XClarity Administrator se conecta a un dispositivo o servicio externo, el dispositivo o servicio externo proporciona su certificado de servidor para ser identificado por XClarity Administrator. XClarity Administrator mantiene una lista de certificados en los que confía. Si el certificado de confianza proporcionado por el dispositivo gestionado o servicio externo no aparece en la lista, XClarity Administrator se desconecta del dispositivo gestionado o servicio externo para evitar intercambiar información confidencial de seguridad con un origen no fiable.

Los servicios de XClarity Administrator utilizan la siguiente categoría de certificados y cualquier cliente que se conecte a él debe confiar en ellos.

  • Certificado del servidor. Durante el arranque inicial, se generan una clave única y un certificado autofirmado. Estos se usan como la Entidad de certificación de raíz predeterminada, que se puede gestionar en la página de Autoridad de certificación en los valores de seguridad de XClarity Administrator. No es necesario volver a generar el certificado de raíz a menos que se haya comprometido la clave o si su organización tiene una política que todos los certificados se deben reemplazar periódicamente (consulte Regenerar o restaurar el certificado de servidor autofirmado de Lenovo XClarity Administrator).

    También durante la configuración inicial, se genera una clave separada y se crea y se firma un certificado de servidor, un certificado se crea que está firmado por la autoridad de certificación interna. Este certificado utilizado como el certificado de servidor de XClarity Administrator predeterminado. Se regenera automáticamente cada vez que XClarity Administrator detecta que las direcciones de red (las direcciones IP o DNS) se han modificado para asegurarse de que el certificado contiene las direcciones correctas para el servidor. Se puede personalizar y se generara a demanda (consulte Regenerar o restaurar el certificado de servidor autofirmado de Lenovo XClarity Administrator).

    Puede elegir utilizar un certificado de servidor firmado externamente en lugar del certificado de servidor autofirmado predeterminado generando una solicitud de firma de certificado (CSR), teniendo la CSR firmada por una entidad de certificación raíz de certificado privada o comercial y luego importando la cadena de certificado completa en XClarity Administrator (consulte Desplegar certificados de servidor personalizado en Lenovo XClarity Administrator).

    Si elige usar el certificado de servidor autofirmado predeterminado, se recomienda que importe el certificado del servidor en su navegador web como entidad de confianza de raíz para evitar los mensajes de error del certificado en su navegador (consulte Importación del certificado de la Entidad de certificación en un navegador web).

  • Certificado de despliegue de SO. El servicio de despliegue del sistema operativo usa un certificado separado para asegurarse de que el instalador del sistema operativo pueda conectarse de forma segura al servicio de despliegue durante el proceso de instalación del sistema operativo. Si se ha comprometido la clave, puede regenerarla reiniciando el servidor de gestión.

Los clientes de XClarity Administrator utilizan la siguiente categoría (almacenes de confianza) de certificados.

  • Certificados de confianza.

    Este almacén de confianza gestiona certificados que se usan para establecer una conexión segura con los recursos locales cuando XClarity Administrator actúa como un cliente. Ejemplos de recursos locales son dispositivos gestionados, software local al reenviar sucesos y un servidor LDAP externo.

  • Certificados de servicios externos. Este almacén de confianza gestiona certificados que se usan para establecer una conexión segura con dispositivos externos cuando XClarity Administrator actúa como un cliente. Ejemplos de servicios externos son los servicios del soporte de Lenovo en línea que se usan para recuperar información de garantía o crear informes de servicio, software externo (como Splunk) al que se pueden reenviar sucesos y servidores de notificaciones automáticas de Apple y Google si las notificaciones automáticas de Lenovo XClarity Mobile están habilitadas para un dispositivo iOS o Android. Contiene certificados de confianza preconfigurados de entidades de certificación raíz de ciertos proveedores de entidades de certificación conocidas a nivel mundial y de confianza común, (como Digicert y Globalsign).

    Cuando configure XClarity Administrator para usar una característica que requiere una conexión con otro servicio externo, consulte la documentación para determinar si necesita agregar manualmente un certificado a este almacén de confianza.

    Tenga en cuenta que los certificados en este almacén de confianza al establecer conexiones con otros servicios (como LDAP) a menos que también los agregue al almacén de confianza de Certificados de confianza principal. Eliminar certificados de este almacén de confianza evita una operación satisfactoria de estos servicios.

XClarity Administrator admite firmas del certificado RSA-3072/SHA-384, RSA-2048/SHA-256 y ECDSA p256/SHA-256. Otros algoritmos como SHA-1 superior o SHA hash se pueden admitir dependiendo de la configuración. Considere el modo criptográfico seleccionado en XClarity Administrator (consulte Configuración de valores de criptografía en el servidor de gestión), los valores de seguridad seleccionados para servidores gestionados (Configuración de los valores de seguridad para un servidor gestionado) y las capacidades de otros software y dispositivos en su entorno. Los certificados ECDSA que se basan en algunas curvas elípticas (incluidos los p256), pero no se admiten todas las curvas elípticas en la página de certificados de confianza y en la cadena de firma del certificado de XClarity Administrator, pero no se admiten actualmente para su uso por el certificado de servidor de XClarity Administrator.
Nota
XClarity Administrator utiliza firmas del certificado RSA- 3072/SHA-384 para servidores con XCC2 en modo estricto.
  • Instalación de un certificado de servidor firmado externamente y personalizado
    Puede optar por utilizar un certificado de servidor firmado por una entidad de certificación (CA) privada o comercial.
  • Regenerar o restaurar el certificado de servidor autofirmado de Lenovo XClarity Administrator
    Puede generar un nuevo certificado de la entidad de certificación o de servidor para sustituir los certificados autofirmados actuales o para reinstalar un certificado generador por Lenovo XClarity Administrator si XClarity Administrator utiliza actualmente un certificado de servidor firmado externamente personalizado. El nuevo certificado de servidor autofirmado se utiliza a continuación en los servidores de autenticación, HTTPS y CIM de XClarity Administrator. También se suministra automáticamente a todos los dispositivos gestionados.
  • Resolución de un certificado de servidor no fiable
    El certificado de servidor que se utiliza para establecer una conexión segura con un dispositivo gestionado puede pasar a ser no fiable. Si el problema se debe a una versión de nivel inferior del certificado raíz de la CA del dispositivo o del certificado autofirmado del dispositivo en el almacén de confianza de Lenovo XClarity Administrator, XClarity Administrator puede resolver el certificado de servidor no fiable.
  • Descargando el certificado de servidor
    Puede descargar una copia del certificado de servidor actual, en formato PEM o DER, en su sistema local. A continuación, puede importar el certificado a su navegador web u otras aplicaciones (como Lenovo XClarity Mobile o Lenovo XClarity Integrator).
  • Importación del certificado de la Entidad de certificación en un navegador web
    Para evitar recibir mensajes de advertencia del navegador web al acceder a Lenovo XClarity Administrator, puede descargar una copia del certificado actual de la Entidad de certificación (CA), en formato PEM o DER, en su sistema local e importar ese certificado de servidor a la lista de certificados de confianza del navegador web.
  • Adición y sustitución de una lista de revocación de certificados
    Una lista de revocación de certificados es una lista de certificados que se han revocado y ya no son de confianza. Se puede revocar un certificado si la CA lo ha emitido incorrectamente o si la clave está en peligro, se ha perdido o ha sido robada.