Перейти к основному содержимому

Работа с сертификатами безопасности

Lenovo XClarity Administrator использует сертификаты SSL, чтобы устанавливать безопасные, надежные соединения между XClarity Administrator и его управляемыми устройствами (например, рамами и процессорами служб на серверах System x), а также соединения пользователей с XClarity Administrator или с разными службами. По умолчанию XClarity Administrator, CMM и контроллеры управления материнскими платами используют сертификаты, созданные в XClarity Administrator, которые являются самозаверяющими и подписаны во внутреннем центре сертификации.

Перед началом работы

Этот раздел предназначен для администраторов, которые имеют общее представление о стандартах SSL и сертификатах SSL и принципах управления ими. Общие сведения о сертификатах с открытым ключом см. в разделах Веб-страница X.509 в Wikipedia и Веб-страница сертификата инфраструктуры открытых ключей X.509 в Интернете и профиля списка отзыва сертификатов (RFC5280).

Об этой задаче

Самозаверяющий сертификат сервера по умолчанию, который создается уникально в каждом экземпляре XClarity Administrator, обеспечивает достаточный уровень безопасности для многих сред. Можно разрешить XClarity Administrator управлять сертификатами за вас или взять на себя более активную роль и настроить или заменить сертификаты серверов. XClarity Administrator предоставляет параметры для настройки сертификатов для вашей среды. Доступные варианты:
  • Создать новую пару ключей, воссоздав внутренний центр сертификации и (или) сертификат конечного сервера, использующий определенные для вашей организации значения.
  • Создать запрос подписи сертификата (CSR), который может быть отправлен в центр сертификации на ваш выбор для подписи пользовательского сертификата и который затем можно отравить в XClarity Administrator для использования в качестве сертификата конечного сервера для всех размещенных сервисов
  • Скачать сертификат сервера в свою локальную систему, чтобы иметь возможность импортировать этот сертификат в список доверенных сертификатов веб-браузера.

XClarity Administrator предоставляет несколько сервисов, принимающих входящие подключения SSL/TLS. Если какой-либо клиент (например, управляемое устройство или веб-браузер) подключается к одной из этих служб, XClarity Administrator предоставляет ему свой сертификат сервера для идентификации клиентом, который пытается подключиться. В клиенте должен храниться список сертификатов, которым он доверяет. Если сертификат сервера XClarity Administrator отсутствует в списке клиента, клиент отключается от XClarity Administrator во избежание обмена конфиденциальными данными безопасности с ненадежным источником.

При взаимодействии с управляемыми устройствами и внешними службами XClarity Administrator выступает в качестве клиента. Когда XClarity Administrator подключается к какому-либо устройству или внешней службе, это устройство или внешняя служба предоставляет XClarity Administrator свой сертификат сервера для идентификации. XClarity Administrator сохраняет список доверенных сертификатов. Если доверенный сертификат, предоставляемый управляемым устройством или внешней службой, в этом списке отсутствует, XClarity Administrator отключается от управляемого устройства или внешней службы во избежание обмена конфиденциальными данными безопасности с ненадежным источником.

Следующая категория сертификатов используется службами XClarity Administrator, поэтому любой подключающийся клиент предположительно должен доверять этим сертификатам.

  • Сертификат сервера. Во время начальной загрузки создаются уникальный ключ шифрования и самозаверяющий сертификат. Они используются в качестве корневого центра сертификации по умолчанию, которым можно управлять на странице «Центр сертификации» в параметрах безопасности XClarity Administrator. Нет необходимости в повторном создании этого корневого сертификата, если ключ шифрования не был скомпрометирован или если организация использует политику периодической замены всех сертификатов (см. Повторное создание или восстановление самозаверяющего сертификата сервера Lenovo XClarity Administrator).

    Кроме того, во время начальной настройки генерируется отдельный ключ и создается сертификат сервера, подписанный внутренним центром сертификации. Этот сертификат используется в качестве сертификата сервера XClarity Administrator по умолчанию. Он автоматически заново создается каждый раз, когда XClarity Administrator обнаруживает изменение сетевых адресов (IP или DNS), чтобы гарантировать наличие в сертификате правильных адресов для сервера. Его можно настроить и создать по требованию (см. Повторное создание или восстановление самозаверяющего сертификата сервера Lenovo XClarity Administrator).

    Вместо самозаверяющего сертификата сервера по умолчанию можно использовать сертификат сервера, подписанный сторонним центром. Для этого нужно создать запрос подписи сертификата, подписать этот запрос частным или коммерческим корневым центром сертификации, а затем импортировать всю цепочку сертификатов в XClarity Administrator (см. раздел Развертывание настраиваемых сертификатов сервера в Lenovo XClarity Administrator).

    Если вы решите использовать самозаверяющий сертификат сервера по умолчанию, рекомендуется импортировать сертификат сервера в веб-браузер как доверенный корневой ЦС, чтобы избежать появления сообщений об ошибке сертификата в браузере (см. раздел Импорт сертификата центра сертификации в веб-браузер).

  • Сертификат развертывания ОС. Отдельный сертификат используется службой развертывания операционной системы для того, чтобы установщик операционной системы мог безопасно подключаться к службе развертывания во время установки операционной системы. Если ключ шифрования был скомпрометирован, его можно создать повторно путем перезагрузки сервера управления.

Клиенты XClarity Administrator используют следующую категорию (доверенные хранилища) сертификатов.

  • Доверенные сертификаты.

    Это доверенное хранилище управляет сертификатами, которые служат для создания безопасного подключения к локальным ресурсам, когда XClarity Administrator функционирует в качестве клиента. Примеры локальных ресурсов — управляемые устройства, локальное программное обеспечение при перенаправлении события и внешний сервер LDAP.

  • Сертификаты внешних служб. Это доверенное хранилище управляет сертификатами, которые служат для создания безопасного подключения к внешним службам, когда XClarity Administrator функционирует в качестве клиента. Примеры внешних служб — онлайн-службы поддержки Lenovo, используемые для получения гарантийной информации или создания заявок на обслуживание, внешнее ПО (например Splunk), на которое можно перенаправлять события, а также серверы push-уведомлений Apple и Google, если push-уведомления Lenovo XClarity Mobile включены для устройства с iOS или Android. Оно содержит преднастроенные доверенные сертификаты из корневых центров сертификации определенных поставщиков центров сертификации, пользующихся всемирным доверием и известностью, таких как Digicert и Globalsign).

    Когда вы настраиваете XClarity Administrator для использования функции, требующей подключения к другой внешней службе, обратитесь к документации, чтобы определить, нужно ли добавить сертификат в это доверенное хранилище вручную.

    Обратите внимание, что сертификаты в этом доверенном хранилище не являются доверенными при установлении соединений с другими службами (например, LDAP), пока они не будут добавлены в главное доверенное хранилище «Доверенные сертификаты». Удаление сертификатов из этого доверенного хранилища нарушит работу таких служб.

XClarity Administrator поддерживает подписи сертификатов RSA-3072/SHA-384, RSA-2048/SHA-256 и ECDSA p256/SHA-256. В зависимости от конкретной конфигурации могут поддерживаться и другие алгоритмы (например, более надежный SHA-1 или хэши SHA). Принимайте во внимание выбранный криптографический режим в XClarity Administrator (см. раздел Настройка параметров криптографии на сервере управления), выбранные параметры безопасности для управляемых серверов (Настройка параметров безопасности для управляемого сервера), а также возможности другого программного обеспечения и устройств в вашей среде. Сертификаты ECDSA, основанные на некоторых (но не всех) эллиптических кривых (включая p256), поддерживаются на странице «Доверенные сертификаты» и в цепочке подписей сертификата XClarity Administrator, но в настоящее время не поддерживаются для использования сертификатом сервера XClarity Administrator.
Прим.
В режиме «Строгий» XClarity Administrator использует для серверы с XCC2 подписи сертификатов RSA-3072/SHA-384.
  • Установка настраиваемого сертификата сервера, подписанного сторонним центром
    Можно выбрать использование сертификата сервера, который был подписан частным или коммерческим центром сертификации (ЦС).
  • Повторное создание или восстановление самозаверяющего сертификата сервера Lenovo XClarity Administrator
    Можно создать новый сертификат ЦС или сертификат сервера для замены текущих самозаверяющих сертификатов или восстановить созданный в Lenovo XClarity Administrator сертификат, если XClarity Administrator в настоящее время использует настраиваемый сертификат сервера, подписанный сторонним ЦС. Новый самозаверяющий сертификат сервера затем используется на серверах аутентификации, HTTPS и CIM в XClarity Administrator. Он также автоматически применяется для всех управляемых устройств.
  • Разрешение ненадежного сертификата сервера
    Сертификат сервера, который используется для установления безопасного соединения с управляемым устройством, может стать ненадежным. Если причиной проблемы является низкий уровень корневого сертификата ЦС устройства или самозаверяющий сертификат устройства в доверенном хранилище Lenovo XClarity Administrator, XClarity Administrator может разрешить ненадежный сертификат.
  • Загрузка сертификата сервера
    Можно загрузить копию текущего сертификата сервера в формате PEM или DER в свою локальную систему. Затем можно импортировать сертификат в свой веб-браузер или другие приложения (например, Lenovo XClarity Mobile или Lenovo XClarity Integrator).
  • Импорт сертификата центра сертификации в веб-браузер
    Чтобы избежать появления предупреждающих сообщений о безопасности в веб-браузере при доступе к Lenovo XClarity Administrator, можно загрузить копию текущего сертификата центра сертификации (ЦС) в формате PEM или DER в свою локальную систему, а затем импортировать этот сертификат в список доверенных сертификатов в своем веб-браузере.
  • Добавление и замена списка отзыва сертификатов
    Список отзыва сертификатов — это список сертификатов, которые были отозваны и больше не являются доверенными. Сертификат может быть отозван, если он был неправильно выдан центром сертификации или если его ключ скомпрометирован, потерян или украден.