Перейти к основному содержимому

Развертывание настраиваемых сертификатов сервера для управляемых устройств

Можно развернуть настраиваемые сертификаты сервера для управляемых устройств, отправив и установив набор сертификата, подписанного сторонним центром, с помощью CMM и контроллера управления для таких устройств.

Перед началом работы

Убедитесь, что на всех управляемых устройствах установлена последняя версия микропрограммы (см. Обновление микропрограммы на управляемых устройствах).

При создании запроса на подпись сертификата (CSR) для настраиваемых сертификатов убедитесь, что выбрано общее имя, которое соответствует IP-адресу или имени хоста, который используется для идентификации устройства. Если выбрать неправильное значение, это может привести к подключениям, которые не являются доверенными.

Убедитесь, что получаете набор сертификата, содержащий всю цепочку подписи — от сертификата конечного сервера до корневого (базового) сертификата доверенного центра сертификации, — с помощью которого можно проверить всю цепочку доверенного сертификата.

Не изменяйте сертификат сервера Lenovo XClarity Administrator, если состояние управляемого устройства — Не в сети. Перед изменением Lenovo XClarity Administrator необходимо восстановить подключение, иначе для устранения неполадок подключения (см. Разрешение ненадежного сертификата сервера) могут потребоваться дополнительные действия.

Об этой задаче

В этом разделе содержатся рекомендации по успешному обеспечению непрерывной связи между Lenovo XClarity Administrator и управляемыми устройствами. Подробные инструкции по созданию CSR и импорту подписанного сертификата см. в документации устройства.

Если Lenovo XClarity Administrator управляет одной или несколькими рамами, стоечными и башенными серверами и сертификаты Lenovo XClarity Administrator по умолчанию, подписанные в самой организации, в настоящий момент установлены в Lenovo XClarity Administrator и на управляемых устройствах, можно развернуть настраиваемый сертификат сервера.

Если сертификат, подписанный сторонним центром, был установлен на устройстве до того, как Lenovo XClarity Administrator начал управлять устройством, дополнительные действия не требуются. Для развертывания настраиваемого сертификата сервера для устройств под управлением Lenovo XClarity Administrator необходимо выполнить одно из следующих действий для обеспечения постоянной непрерывной связи между сервером управления и управляемыми устройствами.

Процедура

Выберите один из следующих вариантов для развертывания настраиваемого сертификата, подписанного сторонним центром, для управляемой рамы или серверов.

  • Если Lenovo XClarity Administrator использует сертификат, подписанный тем же центром сертификации, что и управляемые устройства, выполните действия в Развертывание настраиваемых сертификатов сервера в Lenovo XClarity Administratorдо установки сертификатов на управляемых устройствах. Установка цепочки сертификатов Lenovo XClarity Administrator из одного центра сертификации гарантирует, что цепочка сертификатов находится в доверенном хранилище Lenovo XClarity Administrator и что Lenovo XClarity Administrator может доверять устройствам после установки сертификатов, подписанных сторонним центром.

  • Добавьте сертификаты, подписанные сторонним центром, в цепочках подписания центра сертификации в доверенное хранилище Lenovo XClarity Administrator.

    Необходимо добавить корневой сертификат центра сертификации и все промежуточные сертификаты по одному в доверенное хранилище Lenovo XClarity Administrator. Порядок не имеет значения. Каждый сертификат должен быть установлен один раз, поэтому если во всех устройствах используются один и тот же корневой сертификат центра сертификации и промежуточные сертификаты, их следует установить в доверенное хранилище Lenovo XClarity Administrator один раз. Если используется несколько корневых и промежуточных сертификатов, убедитесь, что импортируется каждый уникальный корневой сертификат центра сертификации или промежуточный сертификат, который используется в цепочке подписания управляемого устройства.

    Прим.
    На этих этапах не добавляйте сертификаты конечного сервера и сервера, не относящегося к центру сертификации.

    Выполните следующие действия для каждого сертификата в наборе.

    1. В строке меню Lenovo XClarity Administrator выберите Администрирование > Безопасность, чтобы открыть страницу «Безопасность».

    2. Нажмите Доверенные сертификаты в разделе «Управление сертификатами» в левой области навигации.

    3. Нажмите значок Создать (Значок «Создать»), чтобы открыть диалоговое окно Добавить сертификат.

    4. Укажите файл сертификата в формате PEM или DER или вставьте сертификат в формате PEM.

    5. Нажмите Создать, чтобы создать сертификат.

    После установки цепочки подписания центра сертификации Lenovo XClarity Administrator доверяет подключениям к серверам CIM в CMM и контроллере управления, на котором установлен сертификат сервера, подписанный сторонним центром.

  • Импортируйте сертификаты, подписанные сторонним центром, в управляемые устройства.

    Прим.
    Если необходимые сертификаты отсутствуют в доверенном хранилище Lenovo XClarity Administrator, связь между Lenovo XClarity Administrator и управляемым устройством обрывается. Для возобновления связи выполните действия в Разрешение ненадежного сертификата сервера.
    Важное замечание
    Этот параметр подразумевает временную потерю связи, поэтому рекомендуется использовать один из предыдущих вариантов.