Aller au contenu principal

Utilisation de certificats de sécurité

Lenovo XClarity Administrator utilise des certificats SSL pour établir des communications sécurisées et approuvées entre XClarity Administrator et ses appareils gérés (tels que des châssis et des processeurs de maintenance sur les serveurs System x), ainsi que des communications avec XClarity Administrator par les utilisateurs ou avec différents services. Par défaut, XClarity Administrator, les modules CMM et les contrôleurs de gestion de la carte mère utilisent des certificats générés par XClarity Administrator qui sont autosignés et émis par une autorité de certification interne.

Avant de commencer

Cette section s’adresse aux administrateurs qui ont une compréhension de base du SSL standard et des certificats SSL, y compris ce qu’ils sont et comment les gérer. Pour plus d’informations sur les certificats de clé publique, voir Page Web X.509 dans Wikipedia et Page Web Certificat d’infrastructure de clé publique Internet X.509 et profil de liste de révocation de certificat (CRL) (RFC5280).

À propos de cette tâche

Le certificat du serveur auto-signé par défaut, qui est généré de manière unique dans chaque instance de XClarity Administrator, fournit une sécurité suffisante pour de nombreux environnements. Vous pouvez choisir de laisser XClarity Administrator gérer les certificats pour vous, ou vous pouvez jouer un rôle plus actif en personnalisant ou en remplaçant les certificats du serveur. XClarity Administrator inclut des options pour la personnalisation des certificats pour votre environnement. Par exemple, vous pouvez choisir de :
  • Générez une nouvelle paire de clés en regénérant l’autorité de certification interne et/ou le certificat du serveur final qui utilise des valeurs spécifiques à votre organisation.
  • Générez une demande de signature de certificat (CSR) qui peut être envoyée à l’autorité de certification de votre choix pour signer un certificat personnalisé qui peut être téléchargé vers XClarity Administrator en vue d’une utilisation comme certificat de serveur final pour tous ses services hébergés.
  • Téléchargez le certificat serveur sur votre système local pour pouvoir importer ce certificat dans la liste de certificats sécurisés de votre navigateur Web.

XClarity Administrator fournit plusieurs services qui acceptent les connexions SSL/TLS entrantes. Lorsqu’un client, par exemple, un appareil géré ou un navigateur Web, se connecte à l’un de ces services, XClarity Administrator fournit son certificat serveur afin d’être identifié par le client lors des tentatives de connexion. Le client doit gérer une liste de certificats approuvés. Si le certificat du serveur XClarity Administrator n’est pas inclus dans la liste du client, ce dernier se déconnecte de XClarity Administrator afin d’éviter d’échanger toutes les informations de sécurité sensibles avec une source non sécurisée.

XClarity Administrator fait office de client lors de la communication avec des appareils gérés et des services externes. Lorsque XClarity Administrator se connecte à un appareil ou service externe, l’appareil ou le service externe fournit son certificat de serveur pour être identifié par XClarity Administrator. XClarity Administrator gère une liste des certificats approuvés et fiables. Si le certificat sécurisé fourni par l’appareil géré ou le service externe n’est pas répertorié, XClarity Administrator se déconnecte de l’appareil géré ou du service externe pour éviter d’échanger toutes les informations de sécurité sensibles avec une source non sécurisée.

La catégorie de certificats suivante est utilisée par les services XClarity Administrator et doit être fiable pour tout client qui se connecte à lui.

  • Certificat de serveur. Lors de l’amorçage initiale, une clé unique et un certificat auto-signé sont générés. Ils sont utilisés en tant qu’autorité de certification racine par défaut, qui peut être gérée sur la page de l’autorité de certification dans les paramètres de sécurité de XClarity Administrator. Il n’est pas nécessaire de regénérer ce certificat racine, sauf si la clé a été compromise ou si votre organisation dispose d’une règle indiquant que tous les certificats doivent être remplacés régulièrement (voir Régénération ou restauration du certificat de serveur auto-signé Lenovo XClarity Administrator).

    De même, lors de la configuration initiale, une clé distincte est générée et un certificat de serveur est créé, et signé par l’autorité de certification interne. Ce certificat est utilisé en tant que certificat de serveur XClarity Administrator par défaut. Il se regénère automatiquement à chaque fois que XClarity Administrator détecte que ses adresses de mise en réseau (adresses IP ou DNS) ont changé pour garantir que le certificat contient les adresses exactes pour le serveur. Il peut être personnalisé et généré à la demande (voir Régénération ou restauration du certificat de serveur auto-signé Lenovo XClarity Administrator).

    Vous pouvez choisir d’utiliser un certificat de serveur à signature externe au lieu du certificat de serveur auto-signé par défaut en générant une demande de signature de certificat (CSR), en faisant signer la CSR par une autorité de certification racine de certificat privée ou commerciale, puis en important l’intégralité de la chaîne de certificats dans XClarity Administrator (voir Déploiement de certificats de serveur personnalisé sur Lenovo XClarity Administrator).

    Si vous décidez d’utiliser le certificat de serveur auto-signé par défaut, il est recommandé d’importer le certificat de serveur dans votre navigateur Web en tant qu’autorité racine sécurisée afin d’éviter les messages d’erreur de certificat dans votre navigateur (voir Importation du certificat de l'autorité de certification dans un navigateur Web).

  • Certificat de déploiement de SE. Un certificat séparé est utilisé par le service de déploiement du système d'exploitation pour garantir que le programme d'installation du système d'exploitation peut se connecter de manière sécurisée au service de déploiement lors du processus d'installation du système d'exploitation. Si la clé a été compromise, vous pouvez la regénérer en redémarrant le serveur de gestion.

La catégorie suivante (fichiers de clés certifiées) de certificats est utilisée par les clients XClarity Administrator.

  • Certificats sécurisés.

    Ce fichier de clés certifiées gère des certificats qui sont utilisés pour établir une connexion sécurisée aux ressources locales lorsque XClarity Administrator fait office de client. Les exemples de ressources locales sont des appareils gérés, des logiciels locaux lors d’un événement de réacheminement et un serveur LDAP externe.

  • Certificats pour services externes. Ce fichier de clés certifiées gère des certificats qui sont utilisés pour établir une connexion sécurisée avec des ressources externes lorsque XClarity Administrator fait office de client. Exemples de services externes : les services du support Lenovo en ligne utilisés pour récupérer les informations de garantie ou créer des tickets de maintenance, des logiciels externes (comme Splunk) auxquels les événements peuvent être acheminés, ainsi que les serveurs de notification push Apple et Google si les notifications push Lenovo XClarity Mobile sont activées sur un appareil iOS ou Android. Il contient des certificats sécurisés et préconfigurés, issus des autorités de certification racine de certains fournisseurs d’autorité de certificats fiables et reconnus dans le monde entier, comme Digicert et Globalsign).

    Lorsque vous configurez XClarity Administrator afin d’utiliser une fonction qui nécessite une connexion à un autre service externe, reportez-vous aux documents afin de déterminer si vous devez ajouter manuellement un certificat à ce fichier de clés certifiées.

    Veuillez noter que les certificats dans ce fichier de clés certifiées ne sont pas sécurisés lors de l’établissement de connexions pour d’autres services (comme LDAP), sauf si vous les ajoutez également au principal fichier de clés certifiées de certificats sécurisés. Le fait de retirer des certificats de ce fichier de clés certifiées empêche le bon fonctionnement de ces services.

XClarity Administrator prend en charge les signatures de certificat RSA-3072/SHA-384, RSA-2048/SHA-256 et ECDSA p256/SHA-256. D'autres algorithmes tels que SHA-1 de niveau supérieur ou des hachages SHA peuvent être pris en charge selon votre configuration. Tenez compte du mode cryptographique sélectionné dans XClarity Administrator (voir Configuration des paramètres cryptographiques sur le serveur de gestion), des paramètres de sécurité sélectionnés pour les serveurs gérés (Configuration des paramètres de sécurité pour un serveur géré) et des fonctionnalités des autres logiciels et dispositifs de votre environnement. Les certificats ECDSA qui sont basés sur certaines courbes elliptiques (y compris p256), mais pas sur toutes les courbes elliptiques, sont pris en charge sur la page Certificats sécurisés et dans la chaîne de signature du certificat XClarity Administrator mais ne sont pas actuellement prise en charge pour une utilisation par le certificat du serveur XClarity Administrator.
Remarque
XClarity Administrator utilise les signatures de certificat RSA- 3072/SHA-384 pour les serveurs avec XCC2 en mode Strict.
  • Installation d'un certificat de serveur personnalisé à signature externe
    Vous pouvez choisir d'utiliser un certificat de serveur qui a été signé par une autorité de certification privée ou commerciale (CA).
  • Régénération ou restauration du certificat de serveur auto-signé Lenovo XClarity Administrator
    Vous pouvez générer une nouvelle autorité de certification ou un certificat de serveur pour remplacer les certificats auto-signés actuels ou pour rétablir un certificat généré par Lenovo XClarity Administrator si XClarity Administrator utilise actuellement un certificat de serveur à signature externe personnalisé. Le nouveau certificat de serveur auto-signé est ensuite utilisé par les serveurs d’authentification, HTTPS et CIM sur XClarity Administrator. Il est aussi automatiquement fourni à tous les appareils gérés.
  • Résolution d'un certificat du serveur non sécurisé
    Le certificat de serveur utilisé pour établir une connexion sécurisée à un dispositif géré peut être non sécurisé. Si le problème est dû à une version de niveau précédent du certificat racine CA du dispositif ou du certificat autosigné du dispositif dans le fichier de clés certifiées Lenovo XClarity Administrator, XClarity Administrator peut résoudre le certificat de serveur non sécurisé.
  • Téléchargement du certificat du serveur
    Vous pouvez télécharger une copie du certificat du serveur en cours, au format PEM ou DER, sur votre système local. Vous pouvez ensuite importer le certificat dans votre navigateur Web ou dans d'autres applications (par exemple Lenovo XClarity Mobile ou Lenovo XClarity Integrator).
  • Importation du certificat de l'autorité de certification dans un navigateur Web
    Pour éviter les messages d'avertissement de sécurité à partir de votre navigateur Web lorsque vous accédez à Lenovo XClarity Administrator, vous pouvez télécharger une copie du certificat de l'autorité de certification (CA), au format PEM ou DER, sur votre système local, puis importer ce certificat dans la liste de certificats sécurisés de votre navigateur Web.
  • Ajout et remplacement d'une liste de révocation de certificat
    Une liste de révocation de certificat est une liste des certificats qui ont été révoqués et ne sont plus sécurisés. Un certificat peut être révoqué s'il n'a pas été correctement généré par l'autorité de certification ou si la clé est compromise, perdue ou volée.