Aller au contenu principal

Installation d'un certificat de serveur personnalisé à signature externe

Vous pouvez choisir d'utiliser un certificat de serveur qui a été signé par une autorité de certification privée ou commerciale (CA).

Avant de commencer

Assurez-vous que l’autorité de certification racine est celle générée par votre organisation et utilisée pour signer des certificats dans cette organisation, ou une autorité fiable et reconnue dans le monde entier (voir Page Web Liste des autorités de certifications fiables).

Assurez-vous que les algorithmes des clés et des signatures de la certification de l’autorité de certification racine sont pris en charge. Seules les signatures RSA-3072/SHA-384 et RSA-2048/SHA-256 sont prises en charge. Les signatures RSA-PSS ne sont pas prises en charge à ce stade.

Vérifiez que la dernière version du microprogramme est installée sur tous les appareils gérés avant de démarrer une tâche qui peut avoir un impact sur les connexions entre les appareils gérés. Pour mettre à niveau le microprogramme sur les appareils gérés, voir Mise à jour du microprogramme sur les appareils gérés.

Vérifiez que XClarity Administrator communique correctement avec tous les appareils gérés en cliquant sur Matériel, puis en cliquant sur le type d'appareils (châssis ou serveur). Une page s'affiche avec une vue tabulaire de tous les appareils gérés de ce type. Si un dispositif possède un état « Hors ligne, » assurez-vous que la connectivité réseau est opérationnelle entre le serveur de gestion et le dispositif, et résolvez les certificats de serveur non sécurisés si besoin (voir Résolution d'un certificat du serveur non sécurisé).

À propos de cette tâche

Lorsque vous installez un certificat de serveur à signature externe et personnalisé dans XClarity Administrator ou un contrôleur de gestion de la carte mère ou CMM, vous devez fournir le groupe de certificats qui contient l’intégralité de la chaîne de signature de l’autorité de certification.

Lorsque vous installez un certificat de serveur personnalisé dans un châssis ou un serveur qui n'est pas géré par XClarity Administrator, installez le groupe de certificats sur le module CMM avant de l'installer sur les contrôleurs de gestion du module CMM.

Lorsque vous installez un certificat de serveur personnalisé sur un châssis géré, vous devez d'abord ajouter la chaîne de signature CA au fichier de clés certifiées XClarity Administrator, installer le certificat de serveur sur chaque contrôleur de gestion et module CMM, puis télécharger le certificat du serveur sur XClarity Administrator. Notez bien que cela peut être aisément contourné en ajoutant/autorisant tous les certificats de l’autorité de certification racine, mais pas toutes les chaînes de certificats de chaque appareil géré. Le nombre de certificats importés doit être égal au nombre de certificats de l’autorité de certification racine (certificats de l’autorité de certification racine + tous les certificats de l’autorité de certification intermédiaires). Pour plus d'informations, voir Déploiement de certificats de serveur personnalisé sur des appareils gérés.

Vous devez ajouter le certificat racine CA et tous les certificats intermédiaires, un par un, dans le fichier de clés certifiées XClarity Administrator. L'ordre n'importe pas. Chaque certificat doit être installé une fois, de sorte que si tous les dispositifs utilisent les mêmes certificats de CA et intermédiaires, la CA et chaque certificat intermédiaire doivent être installés une fois dans le fichier de clés certifiées XClarity Administrator. Si plusieurs autorités de certification ou une autorité de certification intermédiaire est utilisée, vérifiez que chaque certificat racine CA unique ou certificat intermédiaire utilisé dans la chaîne de signature d'un dispositif géré est importé suivant ces étapes.

Conseil
si le nouveau certificat de serveur n'est pas signé par un tiers de confiance, la prochaine fois que vous vous connecterez à XClarity Administrator, votre navigateur affichera un message de sécurité et une boîte de dialogue vous invitant à accepter le nouveau certificat dans le navigateur. Pour éviter les messages de sécurité, vous pouvez importer un certificat de serveur téléchargé dans la liste de votre navigateur Web de certificats sécurisés. Pour plus d'informations sur l'importation des certificats de serveur, voir Importation du certificat de l'autorité de certification dans un navigateur Web.