Pular para o conteúdo principal

Implantando certificados de servidor personalizado em Lenovo XClarity Administrator

É possível optar por gerar uma solicitação de assinatura de certificado (CSR) a ser assinada pela autoridade de certificação da sua organização ou uma autoridade de certificação de terceiros. A CSR cria uma cadeia de certificados completa que você pode importar e usar no lugar de certificados exclusivos padrão assinados internamente.

Antes de iniciar

Verifique se os detalhes do certificado incluem os requisitos a seguir.

  • O uso da chave deve conter

    • Contrato de chave

    • Assinatura digital

    • Criptografia de chave

  • O uso da chave aprimorada deve conter

    • Servidor de autenticação (1.3.6.1.5.5.7.3.1)

    • Autenticação do cliente (1.3.6.1.5.5.7.3.2)

Sobre esta tarefa

Atenção
Se o NIST SP 800-131A estiver habilitado (consulte Implementando a conformidade com NIST SP 800-131A) e você estiver usando ou planeja usar certificados personalizados ou assinados externamente em um NIST, todos os certificados da cadeia deverão ser baseados em funções de hash SHA-256.

Quando o certificado do servidor é carregado, o XClarity Administrator tenta fornecer o novo certificado da CA a todos os dispositivos gerenciados. Se o processo de fornecimento for bem-sucedido, o XClarity Administrator começará a usar o novo certificado do servidor imediatamente. Se o processo falhar, mensagens de erro serão fornecidas instruindo você para corrigir os problemas manualmente antes de aplicar o certificado do servidor recém-importado. Após corrigir os erros, conclua a instalação do certificado anteriormente carregado.

Nota
Se o XClarity Administrator já usava um certificado assinado pela mesma autoridade raiz, a CA não precisará ser enviada para dispositivos, e XClarity Administrator começará a usar o certificado imediatamente.

Depois de fazer upload de um certificado no XClarity Administrator v3.6 e anterior, novas sessões são estabelecidas usando o novo certificado sem encerrar a sessão existente. Para ver o novo certificado na sessão atual, reinicie o navegador da Web.

Para o XClarity Administrator v4.0 e posterior, o servidor da Web é reiniciado e encerra automaticamente todas as sessões do navegador. Para continuar trabalhando no XClarity Administrator, você deve fazer login novamente.

Procedimento

Para gerar e implantar um certificado de servidor assinado externamente personalizado em Lenovo XClarity Administrator, conclua as seguintes etapas.

  1. Criar e baixar uma solicitação de assinatura de certificado (CSR) para XClarity Administrator.
    1. Na barra de menu do XClarity Administrator, clique em Administração > Segurança para exibir a página Segurança
    2. Clique em Certificado do Servidor na seção Gerenciamento de Certificados para exibir a página Certificado do Servidor.
    3. Clique na guia Gerar Solicitação de Assinatura de Certificado (CSR).
    4. Preencha os campos para a solicitação.

      • País ou Região

      • Estado

      • Cidade ou Localidade

      • Organização

      • Unidade Organizacional (opcional)

      • Nome Comum

      Atenção
      Selecione um nome comum que corresponda ao endereço IP ou nome do host que o XClarity Administrator usa para conectar-se ao dispositivo gerenciado. Não selecionar o valor correto pode levar a conexões que não são confiáveis.
    5. Opcional: Personalize, adicione e exclua nomes alternativos de assunto na extensão X.509 subjectAltName quando a CSR for gerada. Todos os nomes alternativos de assunto listados na tabela serão validados, salvos e adicionados à CSR apenas depois que você gerar a CSR na próxima etapa.

      Por padrão, XClarity Administrator define automaticamente os nomes alternativos de assunto para a CSR com base no endereço IP e no nome do host que são descobertos pelas interfaces de rede do sistema operacional do convidado XClarity Administrator.

      Atenção
      Os nomes alternativos de assunto devem incluir o nome de domínio totalmente qualificado (FQDN) ou o endereço IP do servidor de gerenciamento, e o nome do assunto deve ser definido como o FQDN do servidor de gerenciamento. Verifique se esses campos obrigatórios estão presentes e corretos antes de iniciar o processo de CSR para assegurar que o certificado resultante seja concluído. Dados de certificado ausentes podem resultar em conexões que não são confiáveis ao tentar conectar a instância do XClarity Administrator com o Lenovo XClarity Orchestrator.

      O nome especificado deve ser válido para o tipo selecionado.

      • directoryName (por exemplo, cn=lxca-example,ou=dcg,dc=company,dc=com)

      • dNSName (por exemplo, lxca-example.dcg.company.com)

      • ipAddress (por exemplo, 192.0.2.0)

      • registeredID (por exemplo, 1.2.3.4.55.6.5.99)

      • rfc822Name (por exemplo, example@company.com)

      • uniformResourceIdentifier (por exemplo, https://lxca-dev.dcg.company.com/example)

      Nota
      Todos os SANs listados na tabela são validados, salvos e adicionados à CSR apenas depois que você gerar a CSR na próxima etapa.
    6. Clique em Gerar Arquivo CSR. O certificado do servidor é exibido na caixa de diálogo Solicitação de Assinatura de Certificado.
      Importante

      • Verifique se o certificado recém-gerado contém o FQDN e o endereço IP como parte dos nomes alternativos do assunto.

      • Se essa instância do XClarity Administrator for gerenciada pelo XClarity Orchestrator, verifique se o certificado gerado com base na CSR está configurado para ser usado como um certificado do servidor e como um certificado de cliente.

    7. Clique em Salvar em Arquivo para salvar o certificado do servidor do host.
  2. Forneça a CSR para uma autoridade de certificação (CA) confiável. A CA assina a CSR e responde com um certificado de servidor.
  3. Faça upload do certificado de servidor assinado externamente em XClarity Administrator. O conteúdo do certificado deve ser um pacote que contém o certificado raiz da CA, os certificados intermediários e o certificado do servidor.
    1. Na barra de menu do XClarity Administrator, clique em Administração > Segurança para exibir a página Segurança.
    2. Clique em Certificado do Servidor na seção Gerenciamento de Certificados.
    3. Clique na guia Fazer upload de Certificado.
    4. Clique em Fazer upload de Certificado para exibir a caixa de diálogo Fazer upload de Certificado.
    5. Especifique um pacote de certificados em formato PEM, DER ou PKCS7 ou cole o pacote de certificados em formato PEM.
    6. Clique em Fazer upload para carregar o certificado do servidor e armazenar o certificado no armazenamento confiável do XClarity Administrator.