Aller au contenu principal

Déploiement de certificats de serveur personnalisé sur Lenovo XClarity Administrator

Vous pouvez choisir de générer une demande de signature de certificat (CSR) à signer par l'autorité de certification de votre organisation ou une autorité de certification tierce. La CSR crée une chaîne de certificats complète que vous pouvez importer et utiliser à la place des certificats uniques signés en interne par défaut.

Avant de commencer

Assurez-vous que les détails du certificat incluent les exigences suivantes.

  • L’utilisation clé doit contenir

    • Accord clé

    • Signature numérique

    • Chiffrage clé

  • Utilisation clé étendu doit contenir

    • Authentification serveur (1.3.6.1.5.5.7.3.1)

    • Authentification client (1.3.6.1.5.5.7.3.2)

À propos de cette tâche

Avertissement
Si NIST SP 800-131A est activé (voir Implémentation de la conformité avec la norme NIST SP 800-131A) et si vous utilisez ou souhaitez utiliser des certificats à signature externe ou personnalisés dans un NIST, tous les certificats présents dans la chaîne doivent être basés sur les fonctions de hachage SHA-256.

Lorsque le certificat du serveur est téléchargé, XClarity Administrator tente de distribuer le nouveau certificat de l'autorité de certification sur tous les appareils gérés. Si le processus de distribution aboutit, XClarity Administrator démarre immédiatement à l'aide du nouveau certificat de serveur. Si le processus échoue, des messages d'erreur s'affichent et vous indiquent comment corriger des problèmes manuellement avant d'appliquer le certificat de serveur nouvellement importé. Une fois les erreurs corrigées, terminez l'installation du certificat précédemment téléchargé.

Remarque
Si XClarity Administrator utilisait déjà un certificat signé par la même autorité racine, l'autorité de certification ne doit pas être envoyée aux dispositifs et XClarity Administrator commence à utiliser le certificat immédiatement.

Après le chargement d’un certificat dans XClarity Administrator v3.6 ou l’une de ses versions antérieures, de nouvelles sessions sont établies à l’aide du nouveau certificat, sans mettre un terme à la session existante. Pour afficher le nouveau certificat dans la session actuelle, redémarrez votre navigateur Web.

Pour XClarity Administrator v4.0 et ses versions ultérieures, le serveur Web redémarre et arrête automatiquement toutes les sessions du navigateur. Pour continuer à travailler dans XClarity Administrator, vous devez vous connecter à nouveau.

Procédure

Pour générer et déployer un certificat de serveur personnalisé à signature externe sur Lenovo XClarity Administrator, procédez comme suit.

  1. Créez et téléchargez une demande de signature de certificat (CSR) pour XClarity Administrator
    1. Dans la barre de menu XClarity Administrator, cliquez sur Administration > Sécurité pour afficher la page Sécurité.
    2. Cliquez sur Certificat du serveur dans la section Gestion des certificats pour afficher la page Certificat du serveur.
    3. Cliquez sur l'onglet Générer une demande de signature de certificat (CSR).
    4. Renseignez les champs de la demande.

      • Pays ou région

      • État ou Province

      • Ville ou localité

      • Organisation

      • Unité organisationnelle (facultatif)

      • Nom commun

      Avertissement
      Sélectionnez un nom commun correspondant à l'adresse IP ou au nom d'hôte utilisé par XClarity Administrator pour la connexion au dispositif géré. La sélection d'une valeur incorrecte peut engendrer des connexions non sécurisées.
    5. Facultatif : Personnalisez, ajoutez et supprimez les autres noms de sujet dans l’extension X.509 « subjectAltName » lorsque le fichier CSR est généré. Tous les autres noms de sujet qui sont répertoriés dans le tableau sont validés, enregistrés et ajoutés au CSR uniquement après que vous générez le CSR à l'étape suivante.

      Par défaut, XClarity Administrator définit automatiquement les autres noms de sujet pour la CSR sur la base de l’adresse IP et du nom d’hôte qui sont reconnus par les interfaces réseau du système d’exploitation XClarity Administrator invité.

      Avertissement
      Les autres noms de sujet doivent inclure le nom de domaine complet (FQDN) ou l’adresse IP du serveur de gestion. En outre, le nom de sujet doit être défini sur le FQDN du serveur de gestion. Vérifiez que ces zones obligatoires sont bien présentes et corrigez-les avant de commencer le processus de CSR afin de vérifier que le certificat résultant est terminé. Les données de certificat manquantes peuvent entraîner des connexions qui ne sont pas sécurisées lors de la tentative de connexion de l’instance XClarity Administrator à Lenovo XClarity Orchestrator.

      Le nom que vous spécifiez doit être valide pour le type sélectionné.

      • directoryName (par exemple, cn=lxca-example,ou=dcg,dc=company,dc=com)

      • dNSName (par exemple, lxca-example.dcg.company.com)

      • ipAddress (par exemple, 192.0.2.0)

      • registeredID (par exemple, 1.2.3.4.55.6.5.99)

      • rfc822Name (par exemple, example@company.com)

      • uniformResourceIdentifier (par exemple, https://lxca-dev.dcg.company.com/example)

      Remarque
      Tous les réseaux SAN qui sont répertoriés dans le tableau sont validés, enregistrés et ajoutés au CSR uniquement après que vous générez le CSR à l'étape suivante.
    6. Cliquez sur Générer un fichier CSR. Le certificat de serveur est affiché dans la boîte de dialogue Demande de signature de certificat.
      Important

      • Vérifiez que le certificat nouvellement généré contient le FQDN et l’adresse IP dans le cadre des autres noms de sujet.

      • Si cette instance de XClarity Administrator est gérée par XClarity Orchestrator, assurez-vous que le certificat généré sur la base de la CSR est configuré de manière à être utilisé à la fois en tant que certificat de serveur et en tant que certificat client.

    7. Cliquez sur Enregistrer dans un fichier pour enregistrer le certificat du serveur sur le serveur hôte.
  2. Fournissez la CSR à une autorité de certification sécurisée (CA). L'autorité de certification signe la CSR et répond par un certificat de serveur.
  3. Téléchargez le certificat de serveur à signature externe sur XClarity Administrator. Le contenu du certificat doit être un ensemble contenant le certificat racine de l'autorité de certification, tous les certificats intermédiaires et le certificat du serveur.
    1. Dans la barre de menus de XClarity Administrator, cliquez sur Administration > Sécurité pour afficher la page Sécurité.
    2. Cliquez sur Certificat du serveur dans la section Gestion des certificats.
    3. Cliquez sur l'onglet Télécharger le certificat.
    4. Cliquez sur Télécharger le certificat pour afficher la boîte de dialogue Télécharger le certificat.
    5. Indiquez un fichier de groupe de certificats au format PEM, DER ou PKCS7, ou collez le groupe de certificats au format PEM.
    6. Cliquez sur Télécharger pour télécharger le certificat du serveur et le stocker dans le fichier de clés certifiées XClarity Administrator.