Passa al contenuto principale

Distribuzione di certificati server personalizzati in Lenovo XClarity Administrator

È possibile scegliere di generare una richiesta di firma del certificato (Certificate Signing Request, CSR) da far firmare all'autorità di certificazione della propria organizzazione o a un'autorità di certificazione di terze parti. La richiesta di firma del certificato crea una catena di certificati completa che è possibile importare e utilizzare al posto dei singoli certificati predefiniti firmati internamente.

Prima di iniziare

Verificare che i dettagli del certificato includano i seguenti requisiti.

  • Utilizzo chiavi deve contenere

    • Accordo chiave

    • Firma digitale

    • Crittografia a chiave

  • Utilizzo chiavi avanzato deve contenere

    • Server di autenticazione (1.3.6.1.5.5.7.3.1)

    • Autenticazione client (1.3.6.1.5.5.7.3.2)

Informazioni su questa attività

Attenzione
Se NIST SP 800-131A è abilitato (vedere Implementazione della conformità NIST SP 800-131A) e si utilizza o si intende utilizzare certificati personalizzati o con firma esterna in un ambiente NIST, tutti i certificati nella catena devono essere basati sulle funzioni di hash SHA-256.

Una volta caricato il certificato server, XClarity Administrator tenta di eseguire il provisioning del nuovo certificato CA su tutti i dispositivi gestiti. Se il processo di provisioning riesce, XClarity Administrator inizia subito a utilizzare il nuovo certificato server. Se il processo non riesce, vengono visualizzati messaggi di errore nei quali viene specificato di risolvere i problemi manualmente prima di applicare il certificato server appena importato. Dopo aver corretto gli errori, completare l'installazione del certificato caricato in precedenza.

Nota
Se XClarity Administrator già utilizzava un certificato firmato dalla stessa autorità radice, la CA non deve essere inviata ai dispositivi e XClarity Administrator inizia subito a utilizzare il certificato.

Dopo aver caricato un certificato in XClarity Administrator v1.1.0 e versioni precedenti, il server Web riavvia e termina automaticamente tutte le sessioni del browser. XClarity Administrator v1.1.1 e versioni successive inizia a utilizzare il nuovo certificato senza terminare le sessioni esistenti. Tutte le nuove sessioni vengono stabilite utilizzando il nuovo il certificato. Per vedere il nuovo certificato in uso, riavviare il browser Web.

Procedura

Per generare e distribuire un certificato del server con firma esterna personalizzato in Lenovo XClarity Administrator, attenersi alla procedura descritta di seguito.

  1. Creare e scaricare una richiesta di firma del certificato (CSR) per XClarity Administrator.
    1. Dalla barra dei menu di XClarity Administrator fare clic su Amministrazione > Sicurezza per visualizzare la pagina Sicurezza
    2. Fare clic su Certificato server nella sezione Gestione certificati per visualizzare la pagina Certificato server.
    3. Fare clic sulla scheda Genera CSR (Certificate Signing Request).
    4. Compilare i campi per la richiesta.

      • Paese o regione

      • Stato o provincia

      • Città o località

      • Organizzazione

      • Unità organizzativa (opzionale)

      • Nome comune

      Attenzione
      Selezionare un nome comune corrispondente all'indirizzo IP o al nome host utilizzato da XClarity Administrator per connettersi al dispositivo gestito. La mancata selezione del valore corretto può comportare la presenza di connessioni non attendibili.
    5. Opzionale: Personalizzare i nomi alternativi dell'oggetto (SAN) che vengono aggiunti all'estensione X.509 "subjectAltName" quando viene generata una richiesta CSR.

      Per impostazione predefinita, XClarity Administrator definisce automaticamente i nomi alternativi dell'oggetto (SAN) per la richiesta CSR in base all'indirizzo IP e al nome host rilevati dalle interfacce di rete del sistema operativo guest di XClarity Administrator. È possibile personalizzare, eliminare o aggiungere questi valori SAN.

      Il nome specificato deve essere valido per il tipo selezionato:

      • directoryName (ad esempio, cn=lxca-example,ou=dcg,dc=company,dc=com)

      • dNSName (ad esempio, lxca-example.dcg.company.com)

      • ipAddress (ad esempio, 192.0.2.0)

      • registeredID (ad esempio, 1.2.3.4.55.6.5.99)

      • rfc822Name (ad esempio, example@company.com)

      • uniformResourceIdentifier (ad esempio, https://lxca-dev.dcg.company.com/example)

      Nota
      Tutte le reti SAN elencate nella tabella vengono convalidate, salvate e aggiunte alla richiesta CSR solo dopo che l'utente ha generato la richiesta CSR nel passaggio successivo.
    6. Fare clic su Genera file CSR. Il certificato server viene visualizzato nella finestra di dialogo Richiesta di firma del certificato.
    7. Fare clic su Salva su file per salvare il certificato server nel server host.
  2. Fornire la CSR a un'autorità di certificazione (CA) attendibile. L'autorità di certificazione firma la CSR e risponde con un certificato server.
  3. Caricare il certificato del server con firma esterna su XClarity Administrator. Il contenuto del certificato deve essere un bundle contenente il certificato radice dell'autorità di certificazione, i certificati intermedi e il certificato server.
    1. Dalla barra dei menu di XClarity Administrator fare clic su Amministrazione > Sicurezza per visualizzare la pagina Sicurezza.
    2. Fare clic su Certificato server nella sezione Gestione certificati.
    3. Fare clic sulla scheda Carica certificato.
    4. Fare clic su Carica certificato per visualizzare la finestra di dialogo Carica certificato.
    5. Specificare un file bundle di certificati in formato PEM, DER o PKCS7 oppure incollare il bundle di certificati in formato PEM.
    6. Fare clic su Carica per caricare il certificato server e archiviare il certificato nell'archivio attendibile di XClarity Administrator.