Pular para o conteúdo principal

Trabalhando com certificados de segurança

Lenovo XClarity Administrator usa certificados SSL para estabelecer uma comunicação segura e confiável entre o XClarity Administrator e seus dispositivos gerenciados (como o chassi e processadores de serviços nos servidores System x), bem como a comunicação com o XClarity Administrator por usuários ou com diferentes serviços. Por padrão, o XClarity Administrator, CMMs e Baseboard Management Controllers usam certificados gerados pelo XClarity Administrator que são autoassinados e emitidos por uma autoridade de certificação interna.

Antes de iniciar

Esta seção é destinada a administradores que têm um entendimento básico do padrão SSL e dos certificados SSL, incluindo o que são e como gerenciá-los. Para obter informações gerais sobre certificados de chave pública, consulte Página da Web X.509 na Wikipédia e Página da Web Certificador de infraestrutura da chave pública X.509 da internet e Perfil da lista de revogação de certificados (CRL) (RFC5280).

Sobre esta tarefa

O certificado de servidor autoassinado padrão, produzido exclusivamente em cada instância do XClarity Administrator, fornece segurança adequada para muitos ambientes. É possível escolher se você quer deixar o XClarity Administrator gerenciar certificados, ou se você pode ter uma função mais ativa e personalizar ou substituir os certificados do servidor. O XClarity Administrator fornece opções para personalizar certificados para seu ambiente. Por exemplo, é possível optar por:
  • Gere um novo par de chaves gerando novamente a autoridade de certificação interna e/ou o certificado do servidor final que usa valores específicos da sua organização.
  • Gere uma Solicitação de Assinatura de Certificado (CSR) que pode ser enviada à autoridade de certificação de sua escolha para assinar um certificado padrão que pode, então, ser transferido por upload para o XClarity Administrator a ser usado como o certificado de servidor final para todos os seus serviços hospedados.
  • Baixe o certificado de servidor para seu sistema local para poder importá-lo na lista do navegador da Web de certificados confiáveis.

O XClarity Administrator fornece diversos serviços que aceitam conexões SSL/TLS de entrada. Quando um cliente, como um dispositivo gerenciado ou um navegador da Web, se conecta a um desses serviços, o XClarity Administrator fornece o certificado do servidor a ser identificado pelo cliente que está tentando a conexão. O cliente deve manter uma lista de certificados confiáveis. Se o certificado do servidor do XClarity Administrator não estiver incluído na lista do cliente, o cliente se desconectará do XClarity Administrator para evitar a troca de qualquer informação confidencial de segurança com uma origem não confiável.

O XClarity Administrator age como um cliente ao se comunicar com dispositivos gerenciados e serviços externos. Quando o XClarity Administrator se conecta a um dispositivo ou serviço externo, o dispositivo ou o serviço externo fornece seu certificado do servidor a ser identificado pelo XClarity Administrator. O XClarity Administrator mantém uma lista de certificados confiáveis. Se o certificado confiável fornecido pelo dispositivo gerenciado ou serviço externo não estiver listado, o XClarity Administrator se desconectará do dispositivo gerenciado ou do serviço externo para evitar a troca de qualquer informação confidencial de segurança com uma origem não confiável.

A categoria de certificados a seguir é usada pelos serviços XClarity Administrator e deve ser confiável por qualquer cliente que se conecte a ele.

  • Certificado do Servidor. Durante a primeira inicialização, uma chave exclusiva e o certificado autoassinado são gerados. Eles são usados como autoridade de certificação raiz padrão, que pode ser gerenciada na página Autoridade de Certificação nas configurações de segurança do XClarity Administrator. Não é necessário gerar novamente esse certificado raiz, a menos que a chave tenha sido comprometida ou se sua organização tiver uma política que obrigue a substituição periódica de todos os certificados (consulte Gerar novamente ou restaurar o certificado de servidor autoassinado do Lenovo XClarity Administrator).

    Também durante a configuração inicial, uma chave separada é gerada e um certificado de servidor é criado e assinado pela autoridade de certificação interna. Esse certificado é usado como o certificado do servidor padrão do XClarity Administrator. Ele é gerado de novo automaticamente sempre que o XClarity Administrator detecta que seus endereços de rede (endereços IP ou DNS) foram alterados para garantir que o certificado contenha os endereços corretos para o servidor. Ele pode ser personalizado e gerado sob demanda (consulte Gerar novamente ou restaurar o certificado de servidor autoassinado do Lenovo XClarity Administrator).

    É possível optar por usar um certificado de servidor assinado externamente em vez do certificado de servidor autoassinado padrão gerando uma solicitação de assinatura de certificado (CSR), solicitando que a CSR seja assinada por uma Autoridade de Certificação Raiz privada ou comercial e, em seguida, importando a cadeia de certificados completa para o XClarity Administrator (consulte Implantando certificados de servidor personalizado em Lenovo XClarity Administrator).

    Se você optar por usar o certificado de servidor autoassinado padrão, é recomendável importar o certificado de servidor no seu navegador da Web como uma autoridade raiz confiável para evitar mensagens de erro de certificado no seu navegador (consulte Importando o certificado da autoridade de certificação em um navegador da Web).

  • Certificado de implantação do SO. Um certificado separado é usado pelo serviço de implantação do sistema operacional para assegurar que o instalador do sistema operacional possa se conectar com segurança ao serviço de implantação durante o processo de instalação do sistema operacional. Se a chave tiver sido comprometida, é possível gerá-la novamente reiniciando o servidor de gerenciamento.

A categoria a seguir (armazenamentos confiáveis) de certificados é usada pelos clientes do XClarity Administrator.

  • Certificados confiáveis.

    Esse armazenamento confiável gerencia certificados usados para estabelecer uma conexão segura com os recursos locais quando o XClarity Administrator age como cliente. Exemplos de recursos locais são dispositivos gerenciados, software local ao encaminhar um evento e um servidor LDAP externo.

  • Certificados de serviço externos. Esse armazenamento confiável gerencia certificados usados para estabelecer uma conexão segura com serviços externos quando o XClarity Administrator age como cliente. Exemplos de serviços externos são serviços online do Lenovo Support que são usados para recuperar informações de garantia ou criar tíquetes de serviço, software externo (como o Splunk) para o qual eventos podem ser encaminhados e servidores de notificação por push da Apple e da Google se as notificações por push do Lenovo XClarity Mobile estiverem habilitadas para um dispositivo iOS ou Android. Ele contém certificados confiáveis pré-configurados das Autoridades de Certificação Raiz de determinados provedores de autoridade de certificação geralmente confiáveis e conhecidos mundialmente, como o Digicert e o Globalsign).

    Ao configurar o XClarity Administrator para usar um recurso que exija uma conexão com outro serviço externo, consulte a documentação para determinar se você precisa adicionar manualmente um certificado a esse armazenamento confiável.

    Os certificados nesse armazenamento confiável não são confiáveis ao estabelecer conexões para outros serviços (como LDAP), a menos que você também os adicione ao armazenamento confiável principal de certificados confiáveis. Remover certificados desse armazenamento confiável impede o funcionamento desses serviços.

O XClarity Administrator dá suporte a assinaturas de certificado RSA-3072/SHA-384, RSA-2048/SHA-256 e ECDSA p256/SHA-256. Outros algoritmos, como SHA-1 ou mais forte ou hashes SHA, podem ser compatíveis dependendo da sua configuração. Considere o modo criptográfico selecionado no XClarity Administrator (consulte Definindo configurações de criptografia no servidor de gerenciamento), as configurações de segurança selecionadas para servidores gerenciados (Definindo as configurações de segurança de um servidor gerenciado) e os recursos de outros softwares e dispositivos em seu ambiente. Os certificados ECDSA que são baseados em algumas curvas elípticas (incluindo p256), mas nem todas as curvas elípticas, são suportados na página Certificados confiáveis e na cadeia de assinatura do certificado XClarity Administrator, mas não são suportados atualmente para uso pelo certificado do servidor XClarity Administrator.
Nota
O XClarity Administrator usa assinaturas de certificado RSA-3072/SHA-384 para o servidores com XCC2 no modo estrito.
  • Instalando um certificado de servidor assinado externamente personalizado
    É possível usar um certificado do servidor assinado por uma autoridade de certificação (CA) privada ou comercial.
  • Gerar novamente ou restaurar o certificado de servidor autoassinado do Lenovo XClarity Administrator
    Será possível gerar uma nova autoridade de certificação ou certificado do servidor para substituir os certificados autoassinados atuais ou para restabelecer um certificado gerado pelo Lenovo XClarity Administrator se o XClarity Administrator usar um certificado de servidor assinado externamente personalizado. O novo certificado de servidor autoassinado é então usado pelos servidores de autenticação, HTTPS e CIM no XClarity Administrator. Também é fornecido automaticamente para todos os dispositivos gerenciados.
  • Resolvendo um certificado de servidor não confiável
    O certificado do servidor usado para estabelecer uma conexão segura com um dispositivo gerenciado pode se tornar não confiável. Se o problema ocorreu devido a uma versão anterior do certificado raiz da CA do dispositivo ou ao certificado autoassinado do dispositivo no armazenamento confiável do Lenovo XClarity Administrator, o XClarity Administrator pode solucionar o certificado de servidor não confiável.
  • Baixando o certificado do servidor
    É possível baixar uma cópia do certificado do servidor atual, em formato PEM ou DER, para seu sistema local. Você pode então importar o certificado para seu navegador da Web ou outros aplicativos (como Lenovo XClarity Mobile ou Lenovo XClarity Integrator).
  • Importando o certificado da autoridade de certificação em um navegador da Web
    Para evitar mensagens de aviso de segurança do navegador da Web enquanto você acessa o Lenovo XClarity Administrator, é possível baixar uma cópia do certificado atual da autoridade de certificação (CA), em formato PEM ou DER, no sistema local e depois importar esse certificado para a lista de certificados confiáveis do seu navegador da Web.
  • Incluindo e substituindo uma lista de revogação de certificado
    Uma lista de revogação de certificado é uma lista de certificados que foram revogados e não são mais confiáveis. Um certificado poderá ser revogado se tiver sido emitido incorretamente pela CA ou se a chave for comprometida, perdida ou roubada.