Installazione di un certificato del server con firma esterna personalizzato
È possibile scegliere di utilizzare un certificato server firmato da un'autorità di certificazione (CA) privata o commerciale.
Prima di iniziare
Verificare che l'Autorità di certificazione radice sia quella generata dall'organizzazione e utilizzata per firmare i certificati all'interno di tale organizzazione o che sia un'autorità di certificazione comunemente attendibile e note in tutto il mondo (vedere Pagina Web - Elenco autorità di certificazione attendibili).
Accertarsi che gli algoritmi per le chiavi e le firme del certificato CA radice siano supportati. Sono supportate solo le firme RSA-3072/SHA-384 e RSA-2048/SHA-256. Al momento, le firme RSA-PSS non sono supportate.
Verificare che in tutti i dispositivi gestiti sia installato il firmware più recente prima di iniziare attività che potrebbero influire sulle connessioni tra i dispositivi gestiti. Per aggiornare il firmware sui dispositivi gestiti, vedere Aggiornamento del firmware sui dispositivi gestiti.
Verificare che XClarity Administrator comunichi correttamente tutti i dispositivi gestiti, facendo clic su Hardware poi sul tipo di dispositivo (chassis o server). Verrà visualizzata una pagina contenente una vista tabulare di tutti i dispositivi gestiti di tale tipo. In caso vi siano dispositivi con stato Offline
, verificare che la connettività di rete sia attiva tra il server di gestione e il dispositivo e risolvere certificati server non attendibili, se necessario (vedere Risoluzione di un certificato server non attendibile).
Informazioni su questa attività
Quando si installa un certificato del server con firma esterna personalizzato in XClarity Administrator oppure un controller di gestione della scheda di base o CMM, è necessario fornire il bundle di certificati che contiene l'intera catena di firma della CA.
Quando si installa un certificato server personalizzato in uno chassis o in un server non gestito da XClarity Administrator, installare il bundle di certificati in CMM prima di installarlo in tutti i controller di gestione in CMM.
Quando si installa un certificato server personalizzato in uno chassis gestito, è innanzitutto necessario aggiungere la catena di firma della CA all'archivio attendibile di XClarity Administrator, installare il certificato server in ogni controller di gestione e CMM, quindi caricare il certificato server su XClarity Administrator. Nota: questa operazione può essere facilmente ignorata considerando attendibili/aggiungendo tutti i certificati CA radice, ma non ciascuna catena di certificati da ogni dispositivo gestito. Il numero di certificati importati deve essere uguale al numero di certificati CA radice (certificati CA radice + tutti i certificati CA intermedi). Per ulteriori informazioni, vedere Distribuzione di certificati server personalizzati in dispositivi gestiti.
È necessario aggiungere il certificato radice CA e tutti i certificati intermedi, uno alla volta, all'archivio attendibile di XClarity Administrator. L'ordine è indifferente. Ogni certificato deve essere installato una volta, pertanto se tutti i dispositivi utilizzano la stessa CA e gli stessi certificati intermedi, è sufficiente che la CA e ogni certificato intermedio siano installati nell'archivio attendibile di XClarity Administrator una sola volta. Se si utilizza più di una CA o una CA intermedia, assicurarsi che ogni certificato radice CA univoco o certificato intermedio utilizzato nella catena di firma di un dispositivo gestito venga importato attenendosi alla procedura descritta di seguito.