Aller au contenu principal

Déploiement de certificats de serveur personnalisé sur Lenovo XClarity Administrator

Vous pouvez choisir de générer une demande de signature de certificat (CSR) à signer par l'autorité de certification de votre organisation ou une autorité de certification tierce. La CSR crée une chaîne de certificats complète que vous pouvez importer et utiliser à la place des certificats uniques signés en interne par défaut.

Avant de commencer

Assurez-vous que les détails du certificat incluent les exigences suivantes.

  • L’utilisation clé doit contenir

    • Accord clé

    • Signature numérique

    • Chiffrage clé

  • Utilisation clé étendu doit contenir

    • Authentification serveur (1.3.6.1.5.5.7.3.1)

    • Authentification client (1.3.6.1.5.5.7.3.2)

À propos de cette tâche

Avertissement
Si NIST SP 800-131A est activé (voir Implémentation de la conformité avec la norme NIST SP 800-131A) et si vous utilisez ou souhaitez utiliser des certificats à signature externe ou personnalisés dans un NIST, tous les certificats présents dans la chaîne doivent être basés sur les fonctions de hachage SHA-256.

Lorsque le certificat du serveur est téléchargé, XClarity Administrator tente de distribuer le nouveau certificat de l'autorité de certification sur tous les appareils gérés. Si le processus de distribution aboutit, XClarity Administrator démarre immédiatement à l'aide du nouveau certificat de serveur. Si le processus échoue, des messages d'erreur s'affichent et vous indiquent comment corriger des problèmes manuellement avant d'appliquer le certificat de serveur nouvellement importé. Une fois les erreurs corrigées, terminez l'installation du certificat précédemment téléchargé.

Remarque
Si XClarity Administrator utilisait déjà un certificat signé par la même autorité racine, l'autorité de certification ne doit pas être envoyée aux dispositifs et XClarity Administrator commence à utiliser le certificat immédiatement.

Après avoir téléchargé un certificat dans XClarity Administrator versions 1.1.0 et ultérieures, le serveur Web redémarrait et mettait fin automatiquement à toutes les sessions de navigateur. XClarity Administrator versions 1.1.1 et ultérieures démarre avec le nouveau certificat sans arrêter les sessions existantes. Toutes les nouvelles sessions sont établies avec le nouveau certificat. Pour afficher le nouveau certificat en cours d'utilisation, redémarrez votre navigateur Web.

Procédure

Pour générer et déployer un certificat de serveur personnalisé à signature externe sur Lenovo XClarity Administrator, procédez comme suit.

  1. Créez et téléchargez une demande de signature de certificat (CSR) pour XClarity Administrator
    1. Dans la barre de menu XClarity Administrator, cliquez sur Administration > Sécurité pour afficher la page Sécurité.
    2. Cliquez sur Certificat du serveur dans la section Gestion des certificats pour afficher la page Certificat du serveur.
    3. Cliquez sur l'onglet Générer une demande de signature de certificat (CSR).
    4. Renseignez les champs de la demande.

      • Pays ou région

      • État ou Province

      • Ville ou localité

      • Organisation

      • Unité organisationnelle (facultatif)

      • Nom commun

      Avertissement
      Sélectionnez un nom commun correspondant à l'adresse IP ou au nom d'hôte utilisé par XClarity Administrator pour la connexion au dispositif géré. La sélection d'une valeur incorrecte peut engendrer des connexions non sécurisées.
    5. Facultatif : Personnalisez les autres noms de sujet (SAN) qui sont ajoutées à l'extension X.509 «  subjectAltName  » lorsque le fichier CSR est généré.

      Par défaut, XClarity Administrator définit automatiquement les autres noms de sujet (SAN) pour la CSR basé sur l’adresse IP et le nom d’hôte qui sont reconnus par les interfaces réseau du système d’exploitation XClarity Administrator invité. Vous pouvez personnaliser, supprimer ou ajouter ces valeurs SAN.

      Le nom que vous spécifiez doit être valide pour le type sélectionné :

      • directoryName (par exemple, cn=lxca-example,ou=dcg,dc=company,dc=com)

      • dNSName (par exemple, lxca-example.dcg.company.com)

      • ipAddress (par exemple, 192.0.2.0)

      • registeredID (par exemple, 1.2.3.4.55.6.5.99)

      • rfc822Name (par exemple, example@company.com)

      • uniformResourceIdentifier (par exemple, https://lxca-dev.dcg.company.com/example)

      Remarque
      Tous les réseaux SAN qui sont répertoriés dans le tableau sont validés, enregistrés et ajoutés au CSR uniquement après que vous générez le CSR à l'étape suivante.
    6. Cliquez sur Générer un fichier CSR. Le certificat de serveur est affiché dans la boîte de dialogue Demande de signature de certificat.
    7. Cliquez sur Enregistrer dans un fichier pour enregistrer le certificat du serveur sur le serveur hôte.
  2. Fournissez la CSR à une autorité de certification sécurisée (CA). L'autorité de certification signe la CSR et répond par un certificat de serveur.
  3. Téléchargez le certificat de serveur à signature externe sur XClarity Administrator. Le contenu du certificat doit être un ensemble contenant le certificat racine de l'autorité de certification, tous les certificats intermédiaires et le certificat du serveur.
    1. Dans la barre de menus de XClarity Administrator, cliquez sur Administration > Sécurité pour afficher la page Sécurité.
    2. Cliquez sur Certificat du serveur dans la section Gestion des certificats.
    3. Cliquez sur l'onglet Télécharger le certificat.
    4. Cliquez sur Télécharger le certificat pour afficher la boîte de dialogue Télécharger le certificat.
    5. Indiquez un fichier de groupe de certificats au format PEM, DER ou PKCS7, ou collez le groupe de certificats au format PEM.
    6. Cliquez sur Télécharger pour télécharger le certificat du serveur et le stocker dans le fichier de clés certifiées XClarity Administrator.