본문으로 건너뛰기

Lenovo XClarity Administrator에 사용자 지정된 서버 인증서 배포

사용자 조직의 인증 기관 또는 타사 인증 기관의 서명을 받을 인증서 서명 요청(CSR)을 생성할 수 있습니다. CSR은 전체 인증서 체인을 가져와 고유 기본 내부 서명된 인증서 대신에 사용할 수 있는 전체 인증서를 만듭니다.

시작하기 전에

인증서 세부 정보에 다음 요구 사항이 포함되어 있는지 확인합니다.

  • 키 사용은 다음을 포함해야 합니다.

    • 키 계약

    • 디지털 서명

    • 키 암호화

  • 향상된 키 사용은 다음을 포함해야 합니다.

    • 서버 인증(1.3.6.1.5.5.7.3.1)

    • 클라이언트 인증(1.3.6.1.5.5.7.3.2)

이 작업 정보

주의
NIST SP 800-131A이(가) 사용 설정되어 있으며(NIST SP 800-131A 준수 구현 참조) NIST에서 사용자 지정 또는 외부 서명된 인증서를 사용 중이거나 사용할 계획인 경우 체인의 모든 인증서는 SHA-256 해시 기능을 기반으로 해야 합니다.

서버 인증서가 업로드되면 XClarity Administrator는 새 CA 인증서를 모든 관리되는 장치에 프로비저닝하도록 시도합니다. 프로비저닝 프로세스가 성공하면 XClarity Administrator가 새 서버 인증서를 즉시 사용하기 시작합니다. 프로세스가 실패하면 새로 가져온 서버 인증서를 적용하기 전에 수동으로 문제를 해결하도록 지시하는 오류 메시지가 제공됩니다. 오류가 수정된 후 이전에 업로드한 인증서의 설치를 완료합니다.

XClarity Administrator가 이미 동일한 루트 기관이 서명한 인증서를 사용하고 있는 경우 CA는 장치에 보낼 필요가 없고 XClarity Administrator가 즉시 인증서를 사용하기 시작합니다.

XClarity Administrator v3.6 이하에서 인증서를 업로드하면 기존 세션을 종료하지 않고 새 인증서를 사용하여 새 세션이 설정됩니다. 현재 세션에서 새 인증서를 보려면 웹 브라우저를 다시 시작하십시오.

XClarity Administrator v4.0 이상의 경우 웹 서버가 다시 시작되고 모든 브라우저 세션이 자동으로 종료됩니다. XClarity Administrator에서 계속 작업하려면 다시 로그인해야 합니다.

절차

사용자 지정 외부 서명된 서버 인증서를 생성하여 Lenovo XClarity Administrator에 배포하려면 다음 단계를 완료하십시오.

  1. XClarity Administrator에 대한 인증서 서명 요청(CSR)을 만들어 다운로드하십시오.
    1. XClarity Administrator 메뉴 표시줄에서 관리 > 보안을 클릭하여 보안 페이지를 표시하십시오.
    2. 인증서 관리 섹션의 서버 인증서를 클릭하여 서버 인증서 페이지를 표시하십시오.
    3. 인증서 서명 요청(CSR) 생성 탭을 클릭하십시오.
    4. 요청에 대한 필드를 채우십시오.

      • 국가/지역

      • 주/도

      • 시/군

      • 조직

      • 조직 단위(옵션)

      • 일반 이름

      주의
      XClarity Administrator가 관리 장치에 연결하는 데 사용하는 IP 주소 또는 호스트 이름과 일치하는 일반 이름을 선택하십시오. 올바른 값을 선택하지 않으면 연결이 신뢰할 수 없게 될 수 있습니다.
    5. 옵션: CSR이 생성될 때 X.509 subjectAltName 확장자에서 주체 대체 이름을 사용자 정의, 추가 및 삭제하십시오. 테이블에 나열된 모든 주체 대체 이름은 다음 단계에서 CSR을 생성한 후에만 유효성 검사, 저장 및 CSR에 추가할 수 있습니다.

      XClarity Administrator에서는 기본적으로 XClarity Administrator 게스트 운영 체제의 네트워크 인터페이스에 의해 검색되는 IP 주소 및 호스트 이름을 기반으로 CSR에 대한 주체 대체 이름을 자동으로 정의합니다.

      주의
      주체 대체 이름에는 관리 서버의 IP 주소 또는 FQDN(정규화된 도메인 이름)이 포함되어야 하며 주체 이름은 관리 서버의 FQDN으로 설정되어야 합니다. 결과 인증서가 완전한지 확인하기 위해 CSR 프로세스를 시작하기 전에 이러한 필수 필드가 존재하고 올바른지 확인하십시오. 인증서 데이터가 누락되면 XClarity Administrator 인스턴스를 Lenovo XClarity Orchestrator에 연결하려고 할 때 연결이 신뢰할 수 없게 될 수 있습니다.

      선택한 유형에 대해 지정한 이름이 유효해야 합니다.

      • directoryName(예, cn=lxca-example,ou=dcg,dc=company,dc=com)

      • dNSName(예, lxca-example.dcg.company.com)

      • ipAddress(예, 192.0.2.0)

      • registeredID(예, 1.2.3.4.55.6.5.99)

      • rfc822Name(예, example@company.com)

      • uniformResourceIdentifier(예, https://lxca-dev.dcg.company.com/example)

      다음 단계에서 CSR을 생성한 후에만 표에 나열된 모든 SAN을 유효성 검사, 저장 및 CSR에 추가할 수 있습니다.
    6. CSR 파일 생성을 클릭하십시오. 서버 인증서는 인증서 서명 요청 대화 상자에 표시됩니다.
      중요사항

      • 새로 생성된 인증서에 주체 대체 이름의 일부로 FQDN 및 IP 주소가 포함되어 있는지 확인하십시오.

      • XClarity Administrator 인스턴스가 XClarity Orchestrator에 의해 관리되는 경우 CSR을 기반으로 생성된 인증서가 서버 인증서클라이언트 인증서로 사용되도록 구성되었는지 확인하십시오.

    7. 파일에 저장을 클릭하여 서버 인증서를 호스트 서버에 저장하십시오.
  2. CSR을 신뢰할 수 있는 인증 기관(CA)에 제공하십시오. CA는 CSR에 서명하고 서버 인증서로 응답합니다.
  3. 외부 서명된 서버 인증서를XClarity Administrator에 업로드하십시오. 인증서 컨텐츠는 CA의 루트 인증서, 모든 중간 인증서 및 서버 인증서가 포함된 번들이어야 합니다.
    1. XClarity Administrator 메뉴 표시줄에서 관리 > 보안을 클릭하여 보안 페이지를 표시하십시오.
    2. 인증서 관리 섹션의 서버 인증서를 클릭하십시오.
    3. 인증서 업로드 탭을 클릭하십시오.
    4. 인증서 업로드를 클릭하여 인증서 업로드 대화 상자를 표시하십시오.
    5. 인증서 번들 파일을 PEM, DER 또는 PKCS7 형식으로 지정하거나 인증서 번들을 PEM 형식으로 붙여넣으십시오.
    6. 업로드를 클릭하여 서버 인증서를 업로드하고 인증서를 XClarity Administrator 신뢰 저장소에 저장하십시오.