Passa al contenuto principale

Utilizzo dei certificati di sicurezza

Lenovo XClarity Administrator utilizza i certificati SSL per stabilire le comunicazioni sicure e attendibile tra XClarity Administrator e i relativi dispositivi gestiti (come lo chassis e i processori di servizio dei server System x), nonché le comunicazioni con XClarity Administrator da parte degli utenti o con servizi differenti. Per impostazione predefinita, XClarity Administrator, i moduli CMM e i controller di gestione della scheda di base utilizzano i certificati generati da XClarity Administrator, autofirmati e pubblicati da un'autorità di certificazione interna.

Prima di iniziare

Questa sezione è dedicata agli amministratori con nozioni di base sugli standard SSL e sui certificati SSL, che ne conoscono la definizione e sanno come gestirli. Per informazioni generali sui certificati di chiave pubblica, vedere Pagina Web di X.509 su Wikipedia e Pagina Web - Profilo certificato di infrastruttura con chiave pubblica Internet X.509 e CRL (Certificate Revocation List) (RFC5280).

Informazioni su questa attività

Il certificato server autofirmato predefinito, generato in modo univoco in ogni istanza di XClarity Administrator, fornisce misure di sicurezza sufficienti per molti ambienti. È possibile delegare la gestione dei certificati a XClarity Administrator oppure avere un ruolo più attivo e personalizzare o sostituire i certificati server. XClarity Administrator fornisce le opzioni per personalizzare i certificati dell'ambiente. Ad esempio, è possibile scegliere di:
  • Generare una nuova coppia di chiavi rigenerando l'autorità di certificazione interna e/o il certificato server finale che utilizzano i valori specifici dell'organizzazione.
  • Generare una richiesta di firma del certificato che può essere inviata all'autorità di certificazione preferita per firmare un certificato personalizzato che può quindi essere caricato in XClarity Administrator ed essere utilizzato come certificato end-server per tutti i rispettivi servizi in hosting
  • Scaricare il certificato del server nel sistema locale in modo da importarlo nell'elenco del browser Web dei certificati attendibili.

XClarity Administrator fornisce diversi servizi che accettano le connessioni SSL/TLS in entrata. Quando un client, come un dispositivo gestito o un browser web, si collega a uno di questi servizi, XClarity Administrator fornisce il rispettivo certificato server per essere identificato dal client che sta tentando di connettersi. Il client deve mantenere un elenco di certificati ritenuti attendibili. Se il certificato server di XClarity Administrator non è nell'elenco, il client si disconnette da XClarity Administrator per evitare lo scambio di informazioni di sicurezza riservate con un'origine non attendibile.

XClarity Administrator funge da client durante la comunicazione con dispositivi gestiti e servizi esterni. Quando XClarity Administrator si connette a un dispositivo o a un servizio esterno, il dispositivo o il servizio esterno fornisce il rispettivo certificato server per essere identificato da XClarity Administrator. XClarity Administrator gestisce un elenco di certificati ritenuti attendibili. Se il certificato attendibile fornito dal dispositivo gestito o dal servizio esterni non è nell'elenco, XClarity Administrator si disconnette dal dispositivo gestito o dal servizio esterno al fine di evitare lo scambio di eventuali informazioni di sicurezza riservate con un'origine non attendibile.

La seguente categoria di certificati viene utilizzata dai servizi di XClarity Administrator e deve essere considerata attendibile da qualsiasi client che vi si connette.

  • Certificato server. Durante l'avvio iniziale vengono generati una chiave univoca e un certificato autofirmato. Entrambi vengono utilizzati come autorità di certificazione radice predefinita, gestibile dalla pagina Autorità di certificazione tra le impostazioni di sicurezza di XClarity Administrator. Non è necessario rigenerare questo certificato radice, a meno che la chiave non sia stata compromessa o la politica della propria organizzazione non preveda la sostituzione periodica di tutti i certificati (vedere Rigenerazione o ripristino del certificato autofirmato del server di Lenovo XClarity Administrator).

    Durante la configurazione iniziale viene generata una chiave separata, viene creato un certificato server e firmato un certificato dall'autorità di certificazione interna. Questo certificato viene utilizzato come certificato server predefinito di XClarity Administrator. Esso si rigenera automaticamente ogni volta che XClarity Administrator rileva che i rispettivi indirizzi di rete (indirizzi DNS o IP) sono stati modificati per garantire che il certificato contenga gli indirizzi corretti per il server. Può essere personalizzato e generato su richiesta (vedere Rigenerazione o ripristino del certificato autofirmato del server di Lenovo XClarity Administrator).

    È possibile scegliere di utilizzare un certificato del server con firma esterna invece del certificato server autofirmato predefinito, generando una richiesta di firma del certificato (CSR), una CSR firmata da un'autorità di certificazione radice privata o commerciale e importando quindi la catena di certificati completa in XClarity Administrator (vedere Distribuzione di certificati server personalizzati in Lenovo XClarity Administrator).

    Se si sceglie di utilizzare il certificato del server autofirmato predefinito, è consigliabile importare il certificato del server nel browser Web come autorità radice attendibile per evitare messaggi di errore del certificato nel browser (vedere Importazione del certificato dell'Autorità di certificazione in un browser Web).

  • Certificato di distribuzione del sistema operativo. Un certificato separato viene utilizzato dal servizio di distribuzione del sistema operativo per garantire che il programma di installazione del sistema operativo possa connettersi in modo sicuro al servizio di distribuzione durante il processo di installazione del sistema operativo. Se la chiave è stata compromessa, è possibile rigenerarla riavviando il server di gestione.

La seguente categoria (archivi attendibili) di certificati viene utilizzata dai client di XClarity Administrator.

  • Certificati attendibili.

    Questo archivio attendibile gestisce i certificati utilizzati per stabilire una connessione sicura alle risorse locali quando XClarity Administrator viene utilizzato come client. Esempi di risorse locali sono i dispositivi gestiti, il software locale per l'inoltro di eventi e un server LDAP esterno.

  • Certificati servizi esterni. Questo archivio attendibile gestisce i certificati utilizzati per stabilire una connessione sicura con servizi esterni quando XClarity Administrator viene utilizzato come client. Esempi di servizi esterni sono i servizi online del supporto Lenovo utilizzati per recuperare le informazioni sulla garanzia o creare ticket di assistenza, il software esterno (come Splunk) a cui possono essere inoltrati gli eventi e i server delle notifiche push Apple e Google, se le notifiche push sono abilitate per un dispositivo iOS o Android di Lenovo XClarity Mobile. Contiene certificati attendibili preconfigurati, provenienti da autorità di certificazione radice di determinati fornitori da autorità di certificazione comunemente attendibili e note in tutto il mondo (come Digicert e Globalsign).

    Quando si configura XClarity Administrator per utilizzare una funzione che richiede una connessione a un altro servizio esterno, fare riferimento alla documentazione per determinare se è necessario aggiungere manualmente un certificato a questo archivio attendibile.

    Nota: i certificati in questo archivio attendibile non sono attendibili quando si stabiliscono connessioni per altri servizi (come LDAP) a meno che anche questi non vengano aggiunti all'archivio attendibile principale dei certificati attendibili. La rimozione di certificati da questo archivio attendibile impedisce il corretto funzionamento di questi servizi.

XClarity Administrator supporta firme del certificato RSA-3072/SHA-384, RSA-2048/SHA-256 e ECDSA p256/SHA-256. A seconda della configurazione, potrebbero essere supportati altri algoritmi come uno SHA-1 di livello superiore o hash SHA. Tenere in considerazione la modalità crittografica selezionata in XClarity Administrator (vedere Configurazione delle impostazioni di crittografia sul server di gestione), le impostazioni di sicurezza selezionate per i server gestiti (Configurazione delle impostazioni di sicurezza per un server gestito) e le funzionalità di altri software e dispositivi nel proprio ambiente. I certificati ECDSA basati su alcune curve ellittiche (come p256) sono supportati nella pagina Certificati attendibili e nella catena di firme del certificato di XClarity Administrator ma attualmente non possono essere utilizzati dal certificato server di XClarity Administrator.
Nota
XClarity Administrator utilizza le firme del certificato RSA- 3072/SHA-384 per server con XCC2 in modalità Rigorosa.
  • Installazione di un certificato del server con firma esterna personalizzato
    È possibile scegliere di utilizzare un certificato server firmato da un'autorità di certificazione (CA) privata o commerciale.
  • Rigenerazione o ripristino del certificato autofirmato del server di Lenovo XClarity Administrator
    È possibile generare una nuova autorità di certificazione o un nuovo certificato server per sostituire i certificati autofirmati correnti o per reintegrare un certificato generato da Lenovo XClarity Administrator qualora XClarity Administrator utilizzi un certificato del server con firma esterna personalizzato. Il nuovo certificato autofirmato del server viene quindi utilizzato dai server di autenticazione, HTTPS e CIM in XClarity Administrator. sottoposto a provisioning automatico in tutti i dispositivi gestiti.
  • Risoluzione di un certificato server non attendibile
    Il certificato server utilizzato per stabilire una connessione sicura a un dispositivo gestito può diventare non attendibile. Se il problema è dovuto a una versione di livello inferiore del certificato radice CA del dispositivo o del certificato autofirmato del dispositivo nell'archivio attendibile di Lenovo XClarity Administrator, XClarity Administrator è in grado di risolvere il certificato server non attendibile.
  • Download del certificato server
    È possibile scaricare una copia del certificato server corrente, in formato PEM o DER, nel sistema locale. Quindi, è possibile importare il certificato nel browser Web o in altre applicazioni (come Lenovo XClarity Mobile o Lenovo XClarity Integrator).
  • Importazione del certificato dell'Autorità di certificazione in un browser Web
    Per evitare i messaggi di avvertenza di sicurezza del browser Web durante l'accesso a Lenovo XClarity Administrator, è possibile scaricare una copia del certificato dell'Autorità di certificazione (CA) corrente, in formato PEM o DER, nel sistema locale e importare tale certificato nell'elenco dei certificati attendibili del browser Web in uso.
  • Aggiunta e sostituzione di un elenco di revoche di certificati
    Un elenco di revoche di certificati è un elenco di certificati revocati e non più attendibili. Un certificato può essere revocato se emesso in modo errato dalla CA o se la relativa chiave è stata compromessa, persa o rubata.