Перейти к основному содержимому

Развертывание настраиваемых сертификатов сервера в Lenovo XClarity Administrator

Можно выбрать создание запроса на подпись сертификата (CSR) для подписи центром сертификации вашей организации или сторонним центром сертификации. CSR создает полную цепочку сертификата, которую можно импортировать и использовать вместо уникальных сертификатов по умолчанию, подписанных внутренним центром сертификации.

Перед началом работы

Убедитесь, что сведения о сертификатах соответствуют следующим требованиям.

  • Использование ключей должно содержать

    • Согласование ключей

    • Цифровая подпись

    • Криптографическая защита ключа

  • Расширенный параметр использование ключи должен содержать

    • Аутентификация сервера (1.3.6.1.5.5.7.3.1)

    • Аутентификация клиента (1.3.6.1.5.5.7.3.2)

Об этой задаче

Внимание
Если реализован стандарт NIST SP 800-131A (см. раздел Обеспечение соответствия NIST SP 800-131A) и вы используете или планируете использовать пользовательские или подписанные сторонним центром сертификаты в NIST, в основе всех сертификатов в цепочке должны лежать функции хэширования SHA-256.

При отправке сертификата сервера XClarity Administrator пытается подготовить новый сертификат центра сертификации для всех управляемых устройств. Если процесс подготовки прошел успешно, XClarity Administrator сразу же начинает использовать новый сертификат сервера. Если процесс завершился ошибкой, выдаются сообщения об ошибках, на основании которых можно вручную исправить проблемы перед использованием только что импортированного сертификата сервера. После исправления ошибок завершите установку ранее отправленного сертификата.

Прим.
Если XClarity Administrator уже использовал сертификат, подписанный тем же центром сертификации для корневого сертификата, центру сертификации нет необходимости выполнять отправку на устройства, XClarity Administrator начинает сразу же использовать сертификат.

После отправки сертификата в XClarity Administrator версии v1.1.0 и более ранних версий веб-сервер перезагружался и автоматически завершал все сеансы браузера. XClarity Administrator версии v1.1.1 и более поздних версий использует новый сертификат без завершения существующих сеансов. Все новые сеансы создаются с использованием нового сертификата. Для просмотра нового используемого сертификата перезагрузите свой веб-браузер.

Процедура

Для создания и развертывания настраиваемого сертификата сервера, подписанного сторонним центром, в Lenovo XClarity Administrator выполните следующие действия.

  1. Создайте и загрузите запрос подписи сертификата (CSR) для XClarity Administrator.
    1. В строке меню XClarity Administrator выберите Администрирование > Безопасность, чтобы открыть страницу Безопасность.
    2. Нажмите Сертификат сервера в разделе «Управление сертификатами», чтобы открыть страницу «Сертификат сервера».
    3. Перейдите на вкладку Создать запрос на подпись сертификата (CSR).
    4. Заполните поля для запроса.

      • Страна или регион

      • Регион

      • Город или муниципальная единица

      • Организация

      • Организационная единица (необязательно)

      • Общее имя

      Внимание
      Выберите общее имя, которое соответствует IP-адресу или имени хоста, которое XClarity Administrator использует для подключения к управляемому устройству. Если выбрать неправильное значение, это может привести к подключениям, которые не являются доверенными.
    5. Необязательно: Настройте альтернативные имена субъектов (SAN), добавленные в расширение «subjectAltName» X.509 при создании CSR.

      По умолчанию XClarity Administrator автоматически определяет альтернативные имена субъектов (SAN) для CSR на основании IP-адреса и имени хоста, обнаруженных сетевыми интерфейсами гостевой операционной системы XClarity Administrator. Эти значения можно настроить и удалить, также в них можно добавить.

      Указываемое имя должно быть допустимым для выбранного типа:

      • directoryName (например, cn=lxca-example,ou=dcg,dc=company,dc=com)

      • dNSName (например, lxca-example.dcg.company.com)

      • ipAddress (например, 192.0.2.0)

      • registeredID (например, 1.2.3.4.55.6.5.99)

      • rfc822Name (например, example@company.com)

      • uniformResourceIdentifier (например, https://lxca-dev.dcg.company.com/example)

      Прим.
      Все SAN, перечисленные в таблице, проверяются, сохраняются и добавляются в CSR только после создания CSR на следующем шаге.
    6. Нажмите Создать файл CSR. Сертификат сервера будет показан в диалоговом окне Запрос подписи сертификата.
    7. Нажмите Сохранить в файл, чтобы сохранить сертификат сервера на сервер хоста.
  2. Отправьте CSR в доверенный центр сертификации (ЦС). Центр сертификации подпишет CSR и вернет сертификат сервера.
  3. Отправьте сертификат сервера, подписанный сторонним центром, в XClarity Administrator. Содержимое сертификата должно быть набором, включающим в себя корневой сертификат центра сертификации, промежуточные сертификаты (при наличии) и сертификат сервера.
    1. На панели меню XClarity Administrator выберите Администрирование > Безопасность, чтобы открыть страницу «Безопасность».
    2. Нажмите Сертификат сервера в разделе «Управление сертификатами».
    3. Перейдите на вкладку Отправить сертификат.
    4. Нажмите Отправить сертификат, чтобы открыть диалоговое окно «Отправка сертификата».
    5. Укажите файл набора сертификата в формате PEM, DER или PKCS7 или вставьте набор сертификата в формате PEM.
    6. Нажмите Отправить, чтобы отправить сертификат сервера и сохранить сертификат в доверенном хранилище XClarity Administrator.