È possibile generare una nuova autorità di certificazione o un nuovo certificato server per sostituire i certificati autofirmati correnti o per reintegrare un certificato generato da Lenovo XClarity Administrator qualora XClarity Administrator utilizzi un certificato del server con firma esterna personalizzato. Il nuovo certificato autofirmato del server viene quindi utilizzato dai server di autenticazione, HTTPS e CIM in XClarity Administrator. sottoposto a provisioning automatico in tutti i dispositivi gestiti.
Prima di iniziare
Quando si rigenera o si carica il certificato XClarity Administrator, XClarity Administrator viene riavviato.
Se viene generato un nuovo certificato CA, questo verrà automaticamente distribuito nell'archivio attendibile di ogni CMM e controller di gestione della scheda di base in tutti gli chassis, i server rack e i server tower gestiti per mantenere le connessioni del server di autenticazione attendibili. Se si verifica un errore durante la distribuzione del certificato radice CA, scaricare il certificato dalla pagina dell'Autorità di certificazione e importarlo manualmente nell'archivio attendibile dei dispositivi gestiti in cui il provisioning non è stato eseguito correttamente, prima di generare un nuovo certificato server.
Se si intende rigenerare il certificato CA, trovare il tempo di rigenerare la CA, risolvere gli eventuali errori di provisioning e rigenerare il certificato server entro un breve periodo di tempo.
Dopo la generazione di un nuovo certificato radice CA, potrebbero verificarsi errori di comunicazione o potrebbe non essere possibile eseguire il login a un dispositivo finché il certificato server non sarà stato rigenerato e firmato.
Per XClarity Administrator v1.1.1 e versioni precedenti, è necessario importare il certificato radice CA nell'archivio attendibile di ogni CMM e controller di gestione. Per ulteriori informazioni sull'importazione del certificato radice CA, vedere la documentazione relativa a CMM e al controller di gestione
Procedura
Per ripristinare un certificato autofirmato del server su XClarity Administrator, attenersi alla procedura descritta di seguito.
Il certificato server attualmente in uso su XClarity Administrator, sia esso autofirmato o con firma esterna, rimarrà in uso finché non verrà rigenerato e firmato il nuovo certificato server.
- Opzionale: generare un nuovo certificato radice CA.
- Dalla barra dei menu di XClarity Administrator fare clic su per visualizzare la pagina Sicurezza.
- Fare clic su Autorità di certificazione nella sezione Gestione certificati.
- Fare clic su Rigenera certificato radice autorità di certificazione.
Se il certificato e la chiave CA vengono rigenerati correttamente, verrà visualizzata una finestra di dialogo in cui viene mostrato lo stato dei processi per il provisioning di tale certificato come certificato attendibile LDAP in tutti i CMM e i controller di gestione (per i server Converged, NeXtScale e System x). Questa finestra di dialogo, come la pagina di monitoraggio dei processi, mostra l'esito positivo o negativo di ognuno di tali processi di provisioning.
Se uno dei processi di provisioning non riesce, attenersi alla procedura descritta di seguito per scaricare il certificato radice CA e importare manualmente il certificato radice come certificato LDAP attendibile in tutti i dispositivi per cui il processo non è riuscito.
- Opzionale: scaricare il certificato radice CA nel sistema host e importarlo nel browser Web.
- Dalla barra dei menu di XClarity Administrator fare clic su per visualizzare la pagina Sicurezza.
- Fare clic su Autorità di certificazione nella sezione Gestione certificati.
- Fare clic su Scarica certificato radice autorità di certificazione. Il certificato radice CA corrente è visualizzato nella finestra di dialogo Certificato radice autorità di certificazione.
- Fare clic su Salva su file per salvare il certificato radice CA nel sistema host.
- Seguire le istruzioni per il browser Web utilizzato e il browser Web di altri utenti che eseguiranno l'accesso a XClarity Administrator per importare il certificato come autorità radice attendibile.
- Rigenerare un nuovo certificato server e firmare il certificato con il nuovo certificato radice CA.
- Dalla pagina Sicurezza fare clic su Certificato server nella sezione Gestione certificati.
- Fare clic sulla scheda Rigenera certificato server.
- Compilare i campi nella pagina Rigenera certificato server:
- Paese o regione
- Stato o provincia
- Città o località
- Organizzazione
- Unità organizzativa
- Nome comune
- Data Non valido prima
- Ora Non valido prima
- Data Non valido dopo
- Ora Non valido dopo
- Fare clic su Rigenera certificato.
- Se si rigenerano certificati server autofirmati su CMM e controller di gestione gestiti (per server Converged, NeXtScale, ThinkSystem, e System x), dopo aver rigenerato il certificato su ogni dispositivo, importare il nuovo certificato del dispositivo nell'archivio attendibile di XClarity Administrator (vedere Risoluzione di un certificato server non attendibile). In alternativa, è possibile scaricare manualmente il certificato dal dispositivo e importarlo in XClarity Administrator nella pagina Certificati attendibili.
In XClarity Administrator v1.1.0 e versioni precedenti, dopo la rigenerazione di un certificato il server Web si riavvia e termina automaticamente tutte le sessioni del browser. In XClarity Administrator v1.1.1 e versioni successive XClarity Administrator inizia a utilizzare il nuovo certificato senza terminare le sessioni esistenti. Le nuove sessioni verranno stabilite utilizzando il nuovo il certificato. Per vedere il nuovo certificato in uso, riavviare il browser Web.
- Se si rigenerano certificati server autofirmati su CMM e controller di gestione gestiti (per server Converged, NeXtScale, ThinkSystem, e System x), dopo aver rigenerato il certificato su ogni dispositivo, importare il nuovo certificato del dispositivo nell'archivio attendibile di XClarity Administrator (vedere Risoluzione di un certificato server non attendibile). In alternativa, è possibile scaricare manualmente il certificato dal dispositivo e importarlo in XClarity Administrator nella pagina Certificati attendibili.