본문으로 건너뛰기

보안 인증서 작업

Lenovo XClarity Administrator은(는) XClarity Administrator 및 관리되는 장치(예: System x 서버의 섀시와 서비스 프로세서) 간의 안전하고 신뢰할 수 있는 통신뿐만 아니라 사용자의 XClarity Administrator 또는 다른 서비스와의 통신을 위해 SSL 인증서를 사용합니다. 기본적으로 XClarity Administrator, CMM 및 베이스보드 관리 컨트롤러는 내부 인증 기관에서 자체 서명하고 발행한 XClarity Administrator가 생성한 인증서를 사용합니다.

시작하기 전에

이 섹션은 SSL 표준 및 SSL 인증서의 정의 및 관리 방법을 포함하여 이에 대한 기본적인 지식이 있는 관리자를 대상으로 합니다. 공개 키 인증서에 대한 일반적인 정보는 Wikipedia의 X.509 웹 페이지인터넷 X.509 공개 키 인프라 인증서 및 CRL(인증서 해지 목록) 프로필(RFC5280) 웹 페이지에서 확인하십시오.

이 작업 정보

XClarity Administrator의 모든 인스턴스에서 고유 생성되는 기본 자체 서명 서버 인증서는 여러 환경에서 충분한 보안을 제공합니다. XClarity Administrator가 대신 인증서를 관리하게 하거나 더 적극적인 역할을 하여 서버 인증서를 사용자 지정 또는 교체할 수 있습니다. XClarity Administrator는 환경에 맞게 인증서를 사용자 지정하는 옵션을 제공합니다. 예를 들어 다음 사항을 선택할 수 있습니다.
  • 조직에 고유한 값을 사용하는 내부 인증 기관 또는 최종 서버 인증서를 재생성하여 새로운 키 쌍을 생성합니다.
  • 선택한 인증 기관에 보내 사용자 지정 인증서에 서명할 수 있는 CSR(인증서 서명 요청)을 생성합니다. 이 인증서는 XClarity Administrator에 업로드하여 호스팅되는 모든 서비스에 대한 최종 서버 인증서로 사용할 수 있습니다.
  • 웹 브라우저의 신뢰할 수 있는 인증서 목록으로 해당 인증서를 가져올 수 있도록 로컬 시스템에 서버 인증서를 다운로드합니다.

XClarity Administrator에서는 수신 SSL/TLS 연결을 수락하는 몇 가지 서비스를 제공합니다. 관리되는 장치 또는 웹 브라우저와 같은 클라이언트가 이러한 서비스 중 하나에 연결하면 XClarity Administrator은(는) 연결을 시도하는 클라이언트가 식별할 수 있도록 서버 인증서를 제공합니다. 클라이언트는 신뢰하는 인증서 목록을 유지 관리해야 합니다. XClarity Administrator의 서버 인증서가 클라이언트 목록에 포함되어 있지 않으면 클라이언트는 XClarity Administrator와의 연결을 끊어 보안에 민감한 정보를 신뢰할 수 없는 출처와 교환하지 않도록 합니다.

XClarity Administrator는 관리 장치 및 외부 서비스와 통신할 때 클라이언트의 역할을 합니다. XClarity Administrator이(가) 장치 또는 외부 서비스에 연결하면 장치 또는 외부 서비스는 XClarity Administrator에서 식별할 수 있도록 서버 인증서를 제공합니다. XClarity Administrator은(는) 신뢰할 수 있는 인증서 목록을 유지 관리합니다. 관리되는 장치 또는 외부 서비스에서 제공하는 신뢰할 수 있는 인증서가 나열되지 않으면 XClarity Administrator는 관리되는 장치 또는 외부 서비스와의 연결을 끊어 보안에 민감한 정보를 신뢰할 수 없는 출처와 교환하지 않도록 합니다.

다음 인증서 범주는 XClarity Administrator 서비스에서 사용되며 여기에 연결하는 모든 클라이언트가 신뢰할 수 있어야 합니다.

  • 서버 인증서. 최초 부팅 중에 고유 키 및 자체 서명된 인증서가 생성됩니다. 이러한 인증서는 기본 루트 인증 기관으로 사용되며 인증 기관 페이지의 XClarity Administrator 보안 설정에서 관리할 수 있습니다. 키가 유출된 경우 또는 조직에 모든 인증서를 주기적으로 교체해야 한다는 정책이 있는 경우가 아니라면 이 루트 인증서를 다시 생성하지 않아도 됩니다(Lenovo XClarity Administrator 자체 서명된 서버 인증서 다시 생성 또는 복원 참고).

    또한 초기 설정 중에 별도의 키가 생성되고 내부 인증 기관에서 서명하는 서버 인증서가 만들어집니다. 이 인정서는 기본 XClarity Administrator 서버 인증서로 사용됩니다. 인증서에 서버의 올바른 주소가 포함될 수 있도록 XClarity Administrator에서 네트워킹 주소(IP 또는 DNS 주소)가 변경되었음을 감지할 때마다 자동으로 다시 생성됩니다. 필요 시 사용자 지정 및 생성할 수 있습니다(Lenovo XClarity Administrator 자체 서명된 서버 인증서 다시 생성 또는 복원 참조).

    CSR(인증서 서명 요청)을 생성하고, 개인 또는 상업용 인증서 루트 인증 기관에서 CSR에 서명하도록 한 후, 전체 인증서 체인을 XClarity Administrator(으)로 가져와서 기본 자체 서명된 서버 인증서 대신 외부 서명된 서버 인증서를 사용하도록 선택할 수 있습니다(Lenovo XClarity Administrator에 사용자 지정된 서버 인증서 배포 참고).

    기본 자체 서명된 서버 인증서를 사용하도록 선택하는 경우 웹 브라우저에 신뢰하는 루트 기관으로 서버 인증서를 가져와 브라우저에서 인증서 오류 메시지가 표시되지 않도록 하는 것이 좋습니다(웹 브라우저에 인증 기관 인증서 가져오기 참고).

  • OS 배포 인증서. 운영 체제 배포 서비스가 별도의 인증서를 사용하여 운영 체제 설치 프로그램이 운영 체제 설치 프로세스 중에 배포 서비스에 안전하게 연결하도록 할 수 있습니다. 키가 유출된 경우 관리 서버를 다시 시작하여 다시 생성할 수 있습니다.

다음 인증서 범주(신뢰 저장소)는 XClarity Administrator 클라이언트가 사용합니다.

  • 신뢰할 수 있는 인증서.

    이 신뢰 저장소는 XClarity Administrator이(가) 클라이언트 역할을 할 때 로컬 리소스에 대한 보안 연결을 설정하는 데 사용되는 인증서를 관리합니다. 로컬 리소스의 예로는 관리되는 장치, 이벤트 전달 시 로컬 소프트웨어 및 외부 LDAP 서버가 있습니다.

  • 외부 서비스 인증서. 이 신뢰 저장소는 XClarity Administrator이(가) 클라이언트 역할을 할 때 외부 서비스와의 보안 연결을 설정하는 데 사용되는 인증서를 관리합니다. 외부 서비스의 예로는 보증 정보를 검색하거나 서비스 티켓을 만드는 데 사용되는 온라인 Lenovo 지원 서비스, 이벤트를 전달할 수 있는 외부 소프트웨어(예: Splunk), iOS 또는 Android 장치에 Lenovo XClarity Mobile 푸시 알림이 사용 설정된 경우 Apple 및 Google 푸시 알림 서버가 있습니다. 여기에는 Digicert 및 Globalsign과 같이 일반적으로 신뢰할 수 있고 잘 알려진 특정 인증 기관 공급자의 루트 인증 기관에서 받은 미리 구성된 신뢰할 수 있는 인증서가 포함됩니다.

    다른 외부 서비스에 연결해야 하는 기능을 사용하기 위해 XClarity Administrator을(를) 구성하는 경우 설명서를 참고하여 이 신뢰 저장소에 인증서를 수동으로 추가해야 하는지 확인하십시오.

    이 신뢰 저장소의 인증서는 기본 신뢰할 수 있는 인증서 신뢰 저장소에 추가하지 않는 한 다른 서비스(예: LDAP)에 대한 연결을 설정할 때 신뢰하지 않습니다. 이 신뢰 저장소에서 인증서를 제거하면 이러한 서비스가 성공적으로 작동하지 않습니다.

XClarity Administrator은(는) RSA-3072/SHA-384, RSA-2048/SHA-256 및 ECDSA p256/SHA-256 인증서 서명을 지원합니다. 구성에 따라 SHA-1 이상 또는 SHA 해시와 같은 다른 알고리즘도 지원될 수 있습니다. XClarity Administrator에서 선택된 암호화 모드(관리 서버의 암호화 설정 구성 참조), 관리되는 서버에 선택된 보안 설정(관리되는 서버의 보안 설정 구성), 사용자 환경의 다른 소프트웨어 및 장치의 기능을 고려하십시오. 일부 타원 곡선(p256 포함)을 기반으로 하지만 모든 타원 곡선은 아닌 ECDSA 인증서는 신뢰할 수 있는 인증서 페이지와 XClarity Administrator 인증서의 서명 체인에서 지원되지만 현재 XClarity Administrator 서버 인증서에서 사용하도록 지원되지는 않습니다.
XClarity Administrator는 Strict 모드에서 XCC2가 있는 서버에 RSA- 3072/SHA-384 인증서 서명을 사용합니다.
  • 사용자 지정되고 외부 서명된 서버 인증서 설치
    개인 또는 상업용 인증 기관(CA)가 서명한 서버 인증서를 사용할 수 있습니다.
  • Lenovo XClarity Administrator 자체 서명된 서버 인증서 다시 생성 또는 복원
    XClarity Administrator에서 현재 사용자 지정 외부 서명된 서버 인증서를 사용하는 경우 새 인증 기관 또는 서버 인증서를 생성하여 현재 자체 서명된 인증서를 교체하거나 Lenovo XClarity Administrator에서 생성한 인증서를 복구할 수 있습니다. 그러면 XClarity Administrator의 인증, HTTPS 및 CIM 서버가 자체 서명된 새로운 서버 인증서를 사용합니다. 또한 모든 관리 장치에 자동으로 프로비저닝됩니다.
  • 신뢰할 수 없는 서버 인증서 해결
    관리 장치와의 보안 연결을 설정하는 데 사용되는 서버 인증서는 신뢰할 수 없는 상태가 될 수 있습니다. 문제의 원인이 Lenovo XClarity Administrator 신뢰 저장소에 장치 CA 루트 인증서 또는 장치 자체 서명된 인증서의 하위 레벨 버전이 있기 때문인 경우 XClarity Administrator가 신뢰할 수 없는 서버 인증서를 해결할 수 있습니다.
  • 서버 인증서 다운로드
    현재 서버 인증서의 사본을 로컬 시스템에 PEM 또는 DER 형식으로 다운로드할 수 있습니다. 그런 다음 인증서를 웹 브라우저 또는 다른 응용 프로그램(Lenovo XClarity Mobile 또는 Lenovo XClarity Integrator)에 가져올 수 있습니다.
  • 웹 브라우저에 인증 기관 인증서 가져오기
    Lenovo XClarity Administrator에 액세스할 때 웹 브라우저에서 보안 경고 메시지를 방지하려면 현재 인증 기관(CA) 인증서 사본을 로컬 시스템에 PEM 또는 DER 형식으로 다운로드한 다음 웹 브라우저의 신뢰할 수 있는 인증서 목록에 인증서를 가져올 수 있습니다.
  • 인증서 해지 목록 추가 및 교체
    인증서 해지 목록은 취소되어 더 이상 신뢰할 수 없는 인증서의 목록입니다. 인증서는 CA에서 잘못 발행되었거나 키가 누출, 분실, 도난된 경우 해지될 수 있습니다.