Можно выбрать создание запроса на подпись сертификата (CSR) для подписи центром сертификации вашей организации или сторонним центром сертификации. CSR создает полную цепочку сертификата, которую можно импортировать и использовать вместо уникальных сертификатов по умолчанию, подписанных внутренним центром сертификации.
Перед началом работы
Убедитесь, что сведения о сертификатах соответствуют следующим требованиям.
Об этой задаче
Если реализован стандарт
NIST SP 800-131A (см. раздел Обеспечение соответствия NIST SP 800-131A) и вы используете или планируете использовать пользовательские или подписанные сторонним центром сертификаты в NIST, в основе всех сертификатов в цепочке должны лежать функции хэширования SHA-256. При отправке сертификата сервера XClarity Administrator пытается подготовить новый сертификат центра сертификации для всех управляемых устройств. Если процесс подготовки прошел успешно, XClarity Administrator сразу же начинает использовать новый сертификат сервера. Если процесс завершился ошибкой, выдаются сообщения об ошибках, на основании которых можно вручную исправить проблемы перед использованием только что импортированного сертификата сервера. После исправления ошибок завершите установку ранее отправленного сертификата.
Если XClarity Administrator уже использовал сертификат, подписанный тем же центром сертификации для корневого сертификата, центру сертификации нет необходимости выполнять отправку на устройства, XClarity Administrator начинает сразу же использовать сертификат.
После отправки сертификата в XClarity Administrator v3.6 и более ранних версий новые сеансы устанавливаются с помощью нового сертификата, не завершая существующий сеанс. Для просмотра нового сертификата в текущем сеансе перезапустите веб-браузер.
В XClarity Administrator v4.0 и более поздних версиях веб-сервер перезапускается и автоматически завершает все сеансы браузера. Чтобы продолжить работу в XClarity Administrator, необходимо снова войти в систему.
Процедура
Для создания и развертывания настраиваемого сертификата сервера, подписанного сторонним центром, в Lenovo XClarity Administrator выполните следующие действия.
- Создайте и загрузите запрос подписи сертификата (CSR) для XClarity Administrator.
- В строке меню XClarity Administrator выберите , чтобы открыть страницу Безопасность.
- Нажмите Сертификат сервера в разделе «Управление сертификатами», чтобы открыть страницу «Сертификат сервера».
- Перейдите на вкладку Создать запрос на подпись сертификата (CSR).
- Заполните поля для запроса.
Выберите общее имя, которое соответствует IP-адресу или имени хоста, которое XClarity Administrator использует для подключения к управляемому устройству. Если выбрать неправильное значение, это может привести к подключениям, которые не являются доверенными.
- Необязательно: В расширении
subjectAltName
X.509 настройте, добавьте и удалите альтернативные имена субъектов при создании CSR. Все альтернативные имена субъектов, перечисленные в таблице, проверяются, сохраняются и добавляются в CSR только после создания CSR на следующем шаге.По умолчанию XClarity Administrator автоматически определяет альтернативные имена субъектов для CSR на основании IP-адреса и имени хоста, обнаруженных сетевыми интерфейсами гостевой операционной системы XClarity Administrator.
Альтернативные имена субъектов должны включать полное доменное имя (FQDN) или IP-адрес сервера управления, а имя субъекта должно быть задано равным FQDN сервера управления. Перед началом процесса CSR проверьте, что эти обязательные поля присутствуют и содержат правильные значения, чтобы гарантировать, что полученный сертификат будет полным. Отсутствие данных сертификата может привести к установке недоверенных соединений при попытке подключить экземпляр XClarity Administrator к Lenovo XClarity Orchestrator.
Указываемое имя должно быть допустимым для выбранного типа.
directoryName (например, cn=lxca-example,ou=dcg,dc=company,dc=com)
dNSName (например, lxca-example.dcg.company.com)
ipAddress (например, 192.0.2.0)
registeredID (например, 1.2.3.4.55.6.5.99)
rfc822Name (например, example@company.com)
uniformResourceIdentifier (например, https://lxca-dev.dcg.company.com/example)
Все SAN, перечисленные в таблице, проверяются, сохраняются и добавляются в CSR только после создания CSR на следующем шаге.
- Нажмите Создать файл CSR. Сертификат сервера будет показан в диалоговом окне Запрос подписи сертификата.
Убедитесь, что новый созданный сертификат содержит FQDN и IP-адрес в составе альтернативных имен субъектов.
Если этот экземпляр XClarity Administrator находится под управлением XClarity Orchestrator, убедитесь, что созданный сертификат на основе CSR настроен для использования как в качестве сертификата сервера, так и в качестве сертификата клиента.
- Нажмите Сохранить в файл, чтобы сохранить сертификат сервера на сервер хоста.
- Отправьте CSR в доверенный центр сертификации (ЦС). Центр сертификации подпишет CSR и вернет сертификат сервера.
- Отправьте сертификат сервера, подписанный сторонним центром, в XClarity Administrator. Содержимое сертификата должно быть набором, включающим в себя корневой сертификат центра сертификации, промежуточные сертификаты (при наличии) и сертификат сервера.
- На панели меню XClarity Administrator выберите , чтобы открыть страницу «Безопасность».
- Нажмите Сертификат сервера в разделе «Управление сертификатами».
- Перейдите на вкладку Отправить сертификат.
- Нажмите Отправить сертификат, чтобы открыть диалоговое окно «Отправка сертификата».
- Укажите файл набора сертификата в формате PEM, DER или PKCS7 или вставьте набор сертификата в формате PEM.
- Нажмите Отправить, чтобы отправить сертификат сервера и сохранить сертификат в доверенном хранилище XClarity Administrator.