Passa al contenuto principale

Distribuzione di certificati server personalizzati in Lenovo XClarity Administrator

È possibile scegliere di generare una richiesta di firma del certificato (Certificate Signing Request, CSR) da far firmare all'autorità di certificazione della propria organizzazione o a un'autorità di certificazione di terze parti. La richiesta di firma del certificato crea una catena di certificati completa che è possibile importare e utilizzare al posto dei singoli certificati predefiniti firmati internamente.

Prima di iniziare

Verificare che i dettagli del certificato includano i seguenti requisiti.

  • Utilizzo chiavi deve contenere

    • Accordo chiave

    • Firma digitale

    • Crittografia a chiave

  • Utilizzo chiavi avanzato deve contenere

    • Server di autenticazione (1.3.6.1.5.5.7.3.1)

    • Autenticazione client (1.3.6.1.5.5.7.3.2)

Informazioni su questa attività

Attenzione
Se NIST SP 800-131A è abilitato (vedere Implementazione della conformità NIST SP 800-131A) e si utilizza o si intende utilizzare certificati personalizzati o con firma esterna in un ambiente NIST, tutti i certificati nella catena devono essere basati sulle funzioni di hash SHA-256.

Una volta caricato il certificato server, XClarity Administrator tenta di eseguire il provisioning del nuovo certificato CA su tutti i dispositivi gestiti. Se il processo di provisioning riesce, XClarity Administrator inizia subito a utilizzare il nuovo certificato server. Se il processo non riesce, vengono visualizzati messaggi di errore nei quali viene specificato di risolvere i problemi manualmente prima di applicare il certificato server appena importato. Dopo aver corretto gli errori, completare l'installazione del certificato caricato in precedenza.

Nota
Se XClarity Administrator già utilizzava un certificato firmato dalla stessa autorità radice, la CA non deve essere inviata ai dispositivi e XClarity Administrator inizia subito a utilizzare il certificato.

Dopo aver caricato un certificato in XClarity Administrator v3.6 e versioni precedenti, le nuove sessioni vengono stabilite utilizzando il nuovo certificato senza terminare la sessione esistente. Per vedere il nuovo certificato nella sessione corrente, riavviare il browser Web.

Per XClarity Administrator v4.0 e versioni successive, il server Web riavvia e termina automaticamente tutte le sessioni del browser. Per continuare a utilizzare XClarity Administrator, è necessario eseguire di nuovo l'accesso.

Procedura

Per generare e distribuire un certificato del server con firma esterna personalizzato in Lenovo XClarity Administrator, attenersi alla procedura descritta di seguito.

  1. Creare e scaricare una richiesta di firma del certificato (CSR) per XClarity Administrator.
    1. Dalla barra dei menu di XClarity Administrator fare clic su Amministrazione > Sicurezza per visualizzare la pagina Sicurezza
    2. Fare clic su Certificato server nella sezione Gestione certificati per visualizzare la pagina Certificato server.
    3. Fare clic sulla scheda Genera CSR (Certificate Signing Request).
    4. Compilare i campi per la richiesta.

      • Paese o regione

      • Stato o provincia

      • Città o località

      • Organizzazione

      • Unità organizzativa (opzionale)

      • Nome comune

      Attenzione
      Selezionare un nome comune corrispondente all'indirizzo IP o al nome host utilizzato da XClarity Administrator per connettersi al dispositivo gestito. La mancata selezione del valore corretto può comportare la presenza di connessioni non attendibili.
    5. Opzionale: Personalizzare, aggiungere ed eliminare nomi alternativi dell'oggetto nell'estensione X.509 subjectAltName quando viene generata una richiesta CSR. Tutti i nomi alternativi dell'oggetto elencati nella tabella vengono convalidati, salvati e aggiunti alla richiesta CSR solo dopo che la richiesta è stata generata nel passaggio successivo.

      Per impostazione predefinita, XClarity Administrator definisce automaticamente i nomi alternativi dell'oggetto per la richiesta CSR in base all'indirizzo IP e al nome host rilevati dalle interfacce di rete del sistema operativo guest di XClarity Administrator.

      Attenzione
      I nomi alternativi dell'oggetto devono includere il nome FQDN (Fully-Qualified Domain Name) o l'indirizzo IP del server di gestione e il nome dell'oggetto deve essere impostato sul nome FQDN del server di gestione. Verificare che questi campi obbligatori siano presenti e corretti prima di iniziare il processo CSR per assicurarsi che il certificato risultante sia completo. Eventuali dati mancanti nel certificato potrebbero avere come conseguenza connessioni non attendibili quando si tenta di connettere l'istanza XClarity Administrator a Lenovo XClarity Orchestrator.

      Il nome specificato deve essere valido per il tipo selezionato.

      • directoryName (ad esempio, cn=lxca-example,ou=dcg,dc=company,dc=com)

      • dNSName (ad esempio, lxca-example.dcg.company.com)

      • ipAddress (ad esempio, 192.0.2.0)

      • registeredID (ad esempio, 1.2.3.4.55.6.5.99)

      • rfc822Name (ad esempio, example@company.com)

      • uniformResourceIdentifier (ad esempio, https://lxca-dev.dcg.company.com/example)

      Nota
      Tutte le reti SAN elencate nella tabella vengono convalidate, salvate e aggiunte alla richiesta CSR solo dopo che l'utente ha generato la richiesta CSR nel passaggio successivo.
    6. Fare clic su Genera file CSR. Il certificato server viene visualizzato nella finestra di dialogo Richiesta di firma del certificato.
      Importante

      • Verificare che il certificato appena generato contenga il nome FQDN e l'indirizzo IP tra i nomi alternativi dell'oggetto.

      • Se questa istanza XClarity Administrator è gestita da XClarity Orchestrator, verificare che il certificato generato in base alla richiesta CSR sia configurato per l'utilizzo sia come certificato server che come certificato client.

    7. Fare clic su Salva su file per salvare il certificato server nel server host.
  2. Fornire la CSR a un'autorità di certificazione (CA) attendibile. L'autorità di certificazione firma la CSR e risponde con un certificato server.
  3. Caricare il certificato del server con firma esterna su XClarity Administrator. Il contenuto del certificato deve essere un bundle contenente il certificato radice dell'autorità di certificazione, i certificati intermedi e il certificato server.
    1. Dalla barra dei menu di XClarity Administrator fare clic su Amministrazione > Sicurezza per visualizzare la pagina Sicurezza.
    2. Fare clic su Certificato server nella sezione Gestione certificati.
    3. Fare clic sulla scheda Carica certificato.
    4. Fare clic su Carica certificato per visualizzare la finestra di dialogo Carica certificato.
    5. Specificare un file bundle di certificati in formato PEM, DER o PKCS7 oppure incollare il bundle di certificati in formato PEM.
    6. Fare clic su Carica per caricare il certificato server e archiviare il certificato nell'archivio attendibile di XClarity Administrator.