Passa al contenuto principale

Distribuzione di certificati server personalizzati in dispositivi gestiti

È possibile distribuire certificati server personalizzati in dispositivi gestiti caricando e installando il bundle di certificati con firma esterna mediante CMM e il controller di gestione per tali dispositivi.

Prima di iniziare

Verificare che il firmware più recente sia installato in tutti i dispositivi gestiti (vedere Aggiornamento del firmware sui dispositivi gestiti).

Quando si genera una richiesta di firma del certificato (CSR) per i certificati personalizzati, assicurarsi di selezionare un nome comune che corrisponda all'indirizzo IP o al nome host utilizzato per identificare il dispositivo. La mancata selezione del valore corretto può comportare la presenza di connessioni non attendibili.

Assicurarsi di ottenere un bundle di certificati che contenga l'intera catena di firma, dal certificato server finale al certificato radice (base) della CA attendibile, che è possibile utilizzare per verificare l'intera catena di certificati attendibili.

Non modificare il certificato server di Lenovo XClarity Administrator mentre un dispositivo gestito è Offline. È importante ripristinare la connessione prima di modificare Lenovo XClarity Administrator poiché, in caso contrario, potrebbe essere necessario intervenire ulteriormente per risolvere i problemi di connettività (vedere Risoluzione di un certificato server non attendibile).

Informazioni su questa attività

In questa sezione vengono forniti consigli utili a garantire una comunicazione sempre ottimale tra Lenovo XClarity Administrator e i dispositivi gestiti. Per istruzioni dettagliate su come generare una CSR e importare un certificato firmato, vedere la documentazione del dispositivo utilizzato.

Se Lenovo XClarity Administrator gestisce uno o più chassis, server rack e server tower, e i certificati con firma interna predefiniti di Lenovo XClarity Administrator sono attualmente installati in Lenovo XClarity Administrator e nei dispositivi gestiti, è possibile distribuire un certificato server personalizzato.

Se il certificato del server con firma esterna viene installato nel dispositivo prima del tentativo di gestione del dispositivo da Lenovo XClarity Administrator, non sarà necessario eseguire ulteriori azioni. Per distribuire un certificato server personalizzato nei dispositivi gestiti tramite Lenovo XClarity Administrator, è necessario eseguire una delle seguenti procedure per garantire la connettività continua tra il server di gestione e i dispositivi gestiti.

Procedura

Per distribuire il certificato del server con firma esterna nei server o negli chassis gestiti, attenersi a una delle procedure descritte di seguito.

  • Se Lenovo XClarity Administrator utilizza un certificato firmato dalla stessa autorità di certificazione dei dispositivi gestiti, attenersi alla procedura descritta in Distribuzione di certificati server personalizzati in Lenovo XClarity Administrator prima di installare i certificati nei dispositivi gestiti. L'installazione della catena di certificati di Lenovo XClarity Administrator provenienti dalla stessa CA assicura non solo che la catena di certificati si trova nell'archivio attendibile di Lenovo XClarity Administrator, ma anche che Lenovo XClarity Administrator è in grado di considerare attendibili i dispositivi dopo l'installazione dei certificati con firma esterna.

  • Aggiungere i certificati con firma esterna nelle catene di firma CA all'archivio attendibile di Lenovo XClarity Administrator.

    È necessario aggiungere il certificato radice CA e tutti i certificati intermedi, uno alla volta, all'archivio attendibile di Lenovo XClarity Administrator. L'ordine è indifferente. Ogni certificato deve essere installato una volta, pertanto se tutti i dispositivi utilizzano la stessa CA e gli stessi certificati intermedi, è sufficiente che la CA e ogni certificato intermedio siano installati nell'archivio attendibile di Lenovo XClarity Administrator una sola volta. Se si utilizza più di una CA o una CA intermedia, assicurarsi che ogni certificato radice CA univoco o certificato intermedio utilizzato nella catena di firma di un dispositivo gestito venga importato attenendosi alla procedura descritta di seguito.

    Nota
    Non aggiungere i certificati server non CA finali durante questa procedura.

    Attenersi alla procedura descritta di seguito per ogni certificato nel bundle.

    1. Dalla barra dei menu di Lenovo XClarity Administrator fare clic su Amministrazione > Sicurezza per visualizzare la pagina Sicurezza.

    2. Fare clic su Certificati attendibili in Gestione certificati nel riquadro di navigazione a sinistra.

    3. Fare clic sull'icona Crea (Icona Crea) per visualizzare la finestra di dialogo Aggiungi certificato.

    4. Specificare un file del certificato in formato PEM o DER oppure incollare il certificato in formato PEM.

    5. Fare clic su Crea per creare il certificato.

    Una volta installata la catena di firma CA, Lenovo XClarity Administrator riterrà attendibili le connessioni ai server CIM su CMM e il controller di gestione in cui è installato il certificato del server con firma esterna.

  • Importare i certificati con firma esterna nei dispositivi gestiti.

    Nota
    Se i certificati necessari non sono presenti nell'archivio attendibile di Lenovo XClarity Administrator, la connettività tra Lenovo XClarity Administrator e il dispositivo gestito andrà persa. Attenersi alla procedura descritta in Risoluzione di un certificato server non attendibile per ripristinare la connessione.
    Importante
    Questa opzione comporta una temporanea perdita della connettività, pertanto è consigliabile scegliere una delle procedure precedenti.