Déploiement de certificats de serveur personnalisé sur des appareils gérés
Vous pouvez déployer des certificats de serveur personnalisés sur des appareils gérés en téléchargeant et en installant le groupe de certificats à signature externe à l'aide du module CMM et du contrôleur de gestion pour ces appareils.
Avant de commencer
Vérifiez que le dernier microprogramme est installé sur tous les appareils gérés (voir Mise à jour du microprogramme sur les appareils gérés).
Lors de la génération d'une demande de signature de certificat (CSR) pour les certificats personnalisés, veillez à sélectionner un nom commun correspondant à l'adresse IP ou au nom d'hôte utilisé pour identifier le dispositif. La sélection d'une valeur incorrecte peut engendrer des connexions non sécurisées.
Vérifiez que vous obtenez un groupe de certificats contenant toute la chaîne de signature, du certificat de serveur final au certificat racine (base) de l'autorité de certification de confiance, qui peut être utilisé pour vérifier toute la chaîne de certificats de confiance.
Ne modifiez pas le certificat du serveur Lenovo XClarity Administrator lorsqu'un dispositif géré est « Hors ligne. » Vous devez réparer la connexion avant de modifier Lenovo XClarity Administrator ; sinon, des étapes supplémentaires peuvent être requises pour réparer les problèmes de connectivité (voir Résolution d'un certificat du serveur non sécurisé).
À propos de cette tâche
Cette section fournit des recommandations pour assurer la communication réussie et continue entre Lenovo XClarity Administrator et les appareils gérés. Pour obtenir des instructions détaillées sur la manière de générer un CSR et d'importer un certificat signé, consultez la documentation de votre dispositif.
Si Lenovo XClarity Administrator gère un ou plusieurs châssis, serveurs racks et serveurs au format tour, et si les certificats signés en interne Lenovo XClarity Administrator par défaut sont actuellement installés sur Lenovo XClarity Administrator et les appareils gérés, vous pouvez déployer un certificat de serveur personnalisé.
Si le certificat de serveur à signature externe est installé sur le dispositif avant que vous ne tentiez de gérer le dispositif par Lenovo XClarity Administrator, aucune étape supplémentaire n'est nécessaire. Pour déployer un certificat de serveur personnalisé sur les appareils gérés sous Lenovo XClarity Administrator, vous devez effectuer l'une des étapes suivantes afin de vérifier la connectivité continue entre le serveur de gestion et les appareils gérés.
Procédure
Effectuez l'une des actions suivantes pour déployer le certificat du serveur personnalisé et à signature externe sur le châssis ou les serveurs gérés.
Si Lenovo XClarity Administrator utilise un certificat signé par la même autorité de certification que les appareils gérés, effectuez les étapes décrites dans Déploiement de certificats de serveur personnalisé sur Lenovo XClarity Administrator avant d'installer les certificats sur les appareils gérés. L'installation de la chaîne de certificats Lenovo XClarity Administrator de la même autorité de certification permet de s'assurer que la chaîne de certificats se trouve dans le fichier de clés certifiées Lenovo XClarity Administrator et que Lenovo XClarity Administrator peut faire confiance aux dispositifs après l'installation des certificats externes signés.
Ajoutez des certificats signés en externe dans les chaînes de signature de l'autorité de certification au fichier de clés certifiées Lenovo XClarity Administrator.
Vous devez ajouter le certificat racine CA et tous les certificats intermédiaires, un par un, dans le fichier de clés certifiées Lenovo XClarity Administrator. L'ordre n'importe pas. Chaque certificat doit être installé une fois, de sorte que si tous les dispositifs utilisent les mêmes certificats de CA et intermédiaires, la CA et chaque certificat intermédiaire doivent être installés une fois dans le fichier de clés certifiées Lenovo XClarity Administrator. Si plusieurs autorités de certification ou une autorité de certification intermédiaire est utilisée, vérifiez que chaque certificat racine CA unique ou certificat intermédiaire utilisé dans la chaîne de signature d'un dispositif géré est importé suivant ces étapes.
RemarqueN'ajoutez pas de certificats de serveur finaux et non émis par une CA lors de cette procédure.Procédez comme suit pour chaque certificat dans le module.
Dans la barre de menu Lenovo XClarity Administrator, cliquez sur pour afficher la page Sécurité.
Cliquez sur Certificats sécurisés sous Gestion des certificats dans la navigation à gauche.
Cliquez sur l'icône Créer (
) pour afficher la boîte de dialogue Ajouter un certificat.Indiquez un fichier de certificat, au format PEM ou DER, ou collez le certificat au format PEM.
Cliquez sur Créer pour créer le certificat.
Une fois la chaîne de signature de l'autorité de certification installée, Lenovo XClarity Administrator sécurise des connexions aux serveurs CIM sur le module CMM et le contrôleur de gestion, sur lesquelles est installé le certificat du serveur à signature externe.
Importez les certificats signés en externe dans les appareils gérés.
RemarqueSi les certificats requis ne sont pas présents dans le fichier de clés certifiéesLenovo XClarity Administrator, la connectivité est perdue entre Lenovo XClarity Administrator et le dispositif géré. Effectuez les étapes décrites dans Résolution d'un certificat du serveur non sécurisé pour réparer la connexion. ImportantCette option implique la perte temporaire de connectivité ; par conséquent, l'une des options précédentes est recommandée.