Перейти к основному содержимому

Установка настраиваемого сертификата сервера, подписанного сторонним центром

Можно выбрать использование сертификата сервера, который был подписан частным или коммерческим центром сертификации (ЦС).

Перед началом работы

Убедитесь, что этот корневой центр сертификации — центр, созданный вашей организацией и используемый для подписи сертификатов внутри организации или пользующийся доверием и известностью во всем мире (см. раздел Веб-страница списка доверенных центров сертификации).

Убедитесь, что алгоритмы ключей и подписей корневого сертификата ЦС поддерживаются. Поддерживаются только подписи RSA-3072/SHA-384 и RSA-2048/SHA-256. Подписи RSA-PSS в настоящее время не поддерживаются.

Перед выполнением любых задач, которые могут повлиять на подключения между управляемыми устройствами, убедитесь, что на всех управляемых устройствах установлена последняя версия микропрограммы. Сведения об обновлении микропрограммы на управляемых устройствах см. в разделе Обновление микропрограммы на управляемых устройствах.

Убедитесь, что XClarity Administrator успешно взаимодействует со всеми управляемыми устройствами, нажав Оборудование и выбрав тип устройства (рама или сервер). Откроется страница с табличным представлением всех управляемых устройств этого типа. Если состояние какого-либо устройства «Не в сети», проверьте сетевое подключение между сервером управления и устройством и при необходимости разрешите ненадежные сертификаты сервера (см. Разрешение ненадежного сертификата сервера).

Об этой задаче

При установке настраиваемого сертификата сервера, подписанного сторонним центром, в XClarity Administrator, контроллер управления материнской платой или CMM необходимо предоставить набор сертификата, который содержит всю цепочку подписания ЦС.

При установке настраиваемого сертификата сервера в раму (или сервер), которая не управляется XClarity Administrator, перед установкой набора сертификата на все контроллеры управления в CMM сначала установите его в CMM.

При установке настраиваемого сертификата сервера в управляемую раму необходимо сначала добавить цепочку подписания ЦС в доверенное хранилище XClarity Administrator, установить сертификат сервера на каждый контроллер управления и CMM, а затем отправить сертификат сервера в XClarity Administrator. Обратите внимание, что это требование легко обойти, настроив доверие всем корневым сертификатам ЦС или добавив их, но не каждой цепочке сертификатов с каждого управляемого устройства. Количество импортируемых сертификатов должно равняться числу корневых сертификатов ЦС (корневые сертификаты ЦС + все промежуточные сертификаты ЦС). Дополнительные сведения см. в разделе Развертывание настраиваемых сертификатов сервера для управляемых устройств.

Необходимо добавить корневой сертификат центра сертификации и все промежуточные сертификаты по одному в доверенное хранилище XClarity Administrator. Порядок не имеет значения. Каждый сертификат должен быть установлен один раз, поэтому если во всех устройствах используются один и тот же корневой сертификат центра сертификации и промежуточные сертификаты, их следует установить в доверенное хранилище XClarity Administrator один раз. Если используется несколько корневых и промежуточных сертификатов, убедитесь, что импортируется каждый уникальный корневой сертификат центра сертификации или промежуточный сертификат, который используется в цепочке подписания управляемого устройства.

Совет
Если новый сертификат сервера не подписан сторонним доверенным центром сертификации, при следующем подключении к XClarity Administrator браузер выведет сообщение о безопасности и диалоговое окно с предложением разрешить новый сертификат для браузера. Чтобы избежать появления сообщений о безопасности, можно импортировать загруженный сертификат сервера в список доверенных сертификатов веб-браузера. Дополнительные сведения об импорте сертификатов сервера см. в разделе Импорт сертификата центра сертификации в веб-браузер.