Passa al contenuto principale

Installazione di un certificato del server con firma esterna personalizzato

È possibile scegliere di utilizzare un certificato server firmato da un'autorità di certificazione (CA) privata o commerciale.

Prima di iniziare

Verificare che l'Autorità di certificazione radice sia quella generata dall'organizzazione e utilizzata per firmare i certificati all'interno di tale organizzazione o che sia un'autorità di certificazione comunemente attendibile e note in tutto il mondo (vedere Pagina Web - Elenco autorità di certificazione attendibili).

Accertarsi che gli algoritmi per le chiavi e le firme del certificato CA radice siano supportati. Sono supportate solo le firme RSA-3072/SHA-384 e RSA-2048/SHA-256. Al momento, le firme RSA-PSS non sono supportate.

Verificare che in tutti i dispositivi gestiti sia installato il firmware più recente prima di iniziare attività che potrebbero influire sulle connessioni tra i dispositivi gestiti. Per aggiornare il firmware sui dispositivi gestiti, vedere Aggiornamento del firmware sui dispositivi gestiti.

Verificare che XClarity Administrator comunichi correttamente tutti i dispositivi gestiti, facendo clic su Hardware poi sul tipo di dispositivo (chassis o server). Verrà visualizzata una pagina contenente una vista tabulare di tutti i dispositivi gestiti di tale tipo. In caso vi siano dispositivi con stato "Offline", verificare che la connettività di rete sia attiva tra il server di gestione e il dispositivo e risolvere certificati server non attendibili, se necessario (vedere Risoluzione di un certificato server non attendibile).

Informazioni su questa attività

Quando si installa un certificato del server con firma esterna personalizzato in XClarity Administrator oppure un controller di gestione della scheda di base o CMM, è necessario fornire il bundle di certificati che contiene l'intera catena di firma della CA.

Quando si installa un certificato server personalizzato in uno chassis o in un server non gestito da XClarity Administrator, installare il bundle di certificati in CMM prima di installarlo in tutti i controller di gestione in CMM.

Quando si installa un certificato server personalizzato in uno chassis gestito, è innanzitutto necessario aggiungere la catena di firma della CA all'archivio attendibile di XClarity Administrator, installare il certificato server in ogni controller di gestione e CMM, quindi caricare il certificato server su XClarity Administrator. Nota: questa operazione può essere facilmente ignorata considerando attendibili/aggiungendo tutti i certificati CA radice, ma non ciascuna catena di certificati da ogni dispositivo gestito. Il numero di certificati importati deve essere uguale al numero di certificati CA radice (certificati CA radice + tutti i certificati CA intermedi). Per ulteriori informazioni, vedere Distribuzione di certificati server personalizzati in dispositivi gestiti.

È necessario aggiungere il certificato radice CA e tutti i certificati intermedi, uno alla volta, all'archivio attendibile di XClarity Administrator. L'ordine è indifferente. Ogni certificato deve essere installato una volta, pertanto se tutti i dispositivi utilizzano la stessa CA e gli stessi certificati intermedi, è sufficiente che la CA e ogni certificato intermedio siano installati nell'archivio attendibile di XClarity Administrator una sola volta. Se si utilizza più di una CA o una CA intermedia, assicurarsi che ogni certificato radice CA univoco o certificato intermedio utilizzato nella catena di firma di un dispositivo gestito venga importato attenendosi alla procedura descritta di seguito.

Suggerimento
se il nuovo certificato server non è stato firmato da una terza parte attendibile, alla successiva connessione a XClarity Administrator nel browser verrà visualizzato un messaggio di sicurezza e una finestra di dialogo in cui verrà richiesto di accettare il nuovo certificato nel browser. Per evitare i messaggi di sicurezza, è possibile importare un certificato server scaricato nell'elenco dei certificati attendibili del browser Web. Per ulteriori informazioni sull'importazione dei certificati server, vedere Importazione del certificato dell'Autorità di certificazione in un browser Web.
  • Distribuzione di certificati server personalizzati in Lenovo XClarity Administrator
    È possibile scegliere di generare una richiesta di firma del certificato (Certificate Signing Request, CSR) da far firmare all'autorità di certificazione della propria organizzazione o a un'autorità di certificazione di terze parti. La richiesta di firma del certificato crea una catena di certificati completa che è possibile importare e utilizzare al posto dei singoli certificati predefiniti firmati internamente.
  • Distribuzione di certificati server personalizzati in dispositivi gestiti
    È possibile distribuire certificati server personalizzati in dispositivi gestiti caricando e installando il bundle di certificati con firma esterna mediante CMM e il controller di gestione per tali dispositivi.