Pular para o conteúdo principal

Implantando certificados de servidor personalizado em Lenovo XClarity Administrator

É possível optar por gerar uma solicitação de assinatura de certificado (CSR) a ser assinada pela autoridade de certificação da sua organização ou uma autoridade de certificação de terceiros. A CSR cria uma cadeia de certificados completa que você pode importar e usar no lugar de certificados exclusivos padrão assinados internamente.

Antes de iniciar

Verifique se os detalhes do certificado incluem os requisitos a seguir.

  • O uso da chave deve conter

    • Contrato de chave

    • Assinatura digital

    • Criptografia de chave

  • O uso da chave aprimorada deve conter

    • Servidor de autenticação (1.3.6.1.5.5.7.3.1)

    • Autenticação do cliente (1.3.6.1.5.5.7.3.2)

Sobre esta tarefa

Atenção
Se o NIST SP 800-131A estiver habilitado (consulte Implementando a conformidade com NIST SP 800-131A) e você estiver usando ou planeja usar certificados personalizados ou assinados externamente em um NIST, todos os certificados da cadeia deverão ser baseados em funções de hash SHA-256.

Quando o certificado do servidor é carregado, o XClarity Administrator tenta fornecer o novo certificado da CA a todos os dispositivos gerenciados. Se o processo de fornecimento for bem-sucedido, o XClarity Administrator começará a usar o novo certificado do servidor imediatamente. Se o processo falhar, mensagens de erro serão fornecidas instruindo você para corrigir os problemas manualmente antes de aplicar o certificado do servidor recém-importado. Após corrigir os erros, conclua a instalação do certificado anteriormente carregado.

Nota
Se o XClarity Administrator já usava um certificado assinado pela mesma autoridade raiz, a CA não precisará ser enviada para dispositivos, e XClarity Administrator começará a usar o certificado imediatamente.

Depois de carregar um certificado no XClarity Administrator v1.1.0 e anterior, o servidor da Web foi reiniciado e encerrou automaticamente todas as sessões do navegador. O XClarity Administrator v1.1.1 e posterior começa a usar o novo certificado sem encerrar as sessões existentes. As novas sessões são estabelecidas usando o novo certificado. Para ver o novo certificado em uso, reinicie seu navegador da Web.

Procedimento

Para gerar e implantar um certificado de servidor assinado externamente personalizado em Lenovo XClarity Administrator, conclua as seguintes etapas.

  1. Criar e baixar uma solicitação de assinatura de certificado (CSR) para XClarity Administrator.
    1. Na barra de menu do XClarity Administrator, clique em Administração > Segurança para exibir a página Segurança
    2. Clique em Certificado do Servidor na seção Gerenciamento de Certificados para exibir a página Certificado do Servidor.
    3. Clique na guia Gerar Solicitação de Assinatura de Certificado (CSR).
    4. Preencha os campos para a solicitação.

      • País ou Região

      • Estado

      • Cidade ou Localidade

      • Organização

      • Unidade Organizacional (opcional)

      • Nome Comum

      Atenção
      Selecione um nome comum que corresponda ao endereço IP ou nome do host que o XClarity Administrator usa para conectar-se ao dispositivo gerenciado. Não selecionar o valor correto pode levar a conexões que não são confiáveis.
    5. Opcional: Personalize os nomes alternativos de assunto (SANs) que serão adicionados à extensão x. 509 "subjectAltName" quando a CSR for gerada.

      Por padrão, XClarity Administrator define automaticamente os nomes alternativos de assunto (SANs) para a CSR com base no endereço IP e no nome do host que são descobertos pelas interfaces de rede do sistema operacional do convidado XClarity Administrator. Você pode personalizar, excluir ou adicionar esses valores de SAN.

      O nome que você especificar deve ser válido para o tipo selecionado:

      • directoryName (por exemplo, cn=lxca-example,ou=dcg,dc=company,dc=com)

      • dNSName (por exemplo, lxca-example.dcg.company.com)

      • ipAddress (por exemplo, 192.0.2.0)

      • registeredID (por exemplo, 1.2.3.4.55.6.5.99)

      • rfc822Name (por exemplo, example@company.com)

      • uniformResourceIdentifier (por exemplo, https://lxca-dev.dcg.company.com/example)

      Nota
      Todos os SANs listados na tabela são validados, salvos e adicionados à CSR apenas depois que você gerar a CSR na próxima etapa.
    6. Clique em Gerar Arquivo CSR. O certificado do servidor é exibido na caixa de diálogo Solicitação de Assinatura de Certificado.
    7. Clique em Salvar em Arquivo para salvar o certificado do servidor do host.
  2. Forneça a CSR para uma autoridade de certificação (CA) confiável. A CA assina a CSR e responde com um certificado de servidor.
  3. Faça upload do certificado de servidor assinado externamente em XClarity Administrator. O conteúdo do certificado deve ser um pacote que contém o certificado raiz da CA, os certificados intermediários e o certificado do servidor.
    1. Na barra de menu do XClarity Administrator, clique em Administração > Segurança para exibir a página Segurança.
    2. Clique em Certificado do Servidor na seção Gerenciamento de Certificados.
    3. Clique na guia Fazer upload de Certificado.
    4. Clique em Fazer upload de Certificado para exibir a caixa de diálogo Fazer upload de Certificado.
    5. Especifique um pacote de certificados em formato PEM, DER ou PKCS7 ou cole o pacote de certificados em formato PEM.
    6. Clique em Fazer upload para carregar o certificado do servidor e armazenar o certificado no armazenamento confiável do XClarity Administrator.