Skip to main content

การปรับใช้ใบรับรองเซิร์ฟเวอร์ที่กำหนดเองกับ Lenovo XClarity Administrator

คุณสามารถเลือกสร้างคำขอการลงนามใบรับรอง (CSR) สำหรับการลงนามโดยหน่วยงานด้านใบรับรองของหน่วยงานของคุณหรือหน่วยงานด้านใบรับรองบุคคลที่สาม CSR จะสร้างสายใบรับรองแบบเต็มที่คุณสามารถนำเข้าและใช้แทนที่ใบรับรองที่ลงนามภายในเริ่มต้นที่ไม่ซ้ำกัน

ก่อนจะเริ่มต้น

ตรวจสอบให้แน่ใจว่ารายละเอียดใบรับรองมีข้อกำหนดดังต่อไปนี้

  • การใช้งานคีย์ต้องมี

    • ข้อตกลงคีย์

    • ลายเซ็นดิจิทัล

    • การเข้ารหัสคีย์

  • การใช้งานคีย์ที่ปรับปรุงต้องมี

    • เซิร์ฟเวอร์ตรวจสอบความถูกต้อง (1.3.6.1.5.5.7.3.1)

    • ไคลเอ็นต์การตรวจสอบความถูกต้อง (1.3.6.1.5.5.7.3.2)

เกี่ยวกับงานนี้

ข้อควรสนใจ
หากเปิดใช้งาน NIST SP 800-131A (โปรดดู การนำการปฏิบัติตามข้อบังคับสำหรับ NIST SP 800-131A มาใช้งาน) และคุณกำลังใช้หรือวางแผนที่จะใช้ใบรับรองที่ลงนามแบบกำหนดเองหรือภายนอกใน NIST ใบรับรองทั้งหมดในเครือข่ายต้องใช้ฟังก์ชันแฮช SHA-256

เมื่ออัปโหลดใบรับรองเซิร์ฟเวอร์แล้ว XClarity Administrator จะทำการเตรียมใช้งานใบรับรอง CA ใหม่กับอุปกรณ์ที่ได้รับการจัดการทั้งหมด หากขั้นตอนการเตรียมใช้งานสำเร็จ XClarity Administrator จะเริ่มต้นใช้งานใบรับรองเซิร์ฟเวอร์ใหม่ทันที หากขั้นตอนล้มเหลว จะมีข้อความแสดงข้อผิดพลาดที่ช่วยแนะนำให้คุณแก้ไขปัญหาด้วยตนเองก่อนนำใบรับรองเซิร์ฟเวอร์ที่เพิ่งนำเข้าไปใช้ หลังจากข้อผิดพลาดได้รับการแก้ไขแล้ว ให้ดำเนินการติดตั้งใบรับรองที่อัปโหลดก่อนหน้านี้

หมายเหตุ
หาก XClarity Administrator ใช้ใบรับรองที่ลงนามโดยหน่วยงานด้านใบรับรองรูทเดียวกันอยู่แล้ว ไม่จำเป็นต้องส่ง CA ไปยังอุปกรณ์ และ XClarity Administrator จะเริ่มต้นใช้งานใบรับรองในทันที

หลังจากอัปโหลดใบรับรองใน XClarity Administrator v3.6 และก่อนหน้า ระบบจะสร้างเซสชันใหม่ขึ้นโดยใช้ใบรับรองใหม่โดยไม่ยุติเซสชันที่มีอยู่ เมื่อต้องการดูใบรับรองใหม่ในเซสชันปัจจุบัน ให้รีสตาร์ทเว็บเบราว์เซอร์

สำหรับ XClarity Administrator v4.0 และใหม่กว่า เซิร์ฟเวอร์เว็บจะรีสตาร์ทและยุติเซสชันเบราว์เซอร์ทั้งหมดโดยอัตโนมัติ หากต้องการใช้งานต่อ XClarity Administrator คุณต้องเข้าสู่ระบบอีกครั้ง

ขั้นตอน

เมื่อต้องการสร้างและปรับใช้ใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอกที่กำหนดเองกับ Lenovo XClarity Administrator ให้ดำเนินการขั้นตอนต่อไปนี้

  1. สร้างและดาวน์โหลดคำขอการลงนามใบรับรอง (CSR) สำหรับ XClarity Administrator
    1. จากแถบเมนู XClarity Administrator ให้คลิก การดูแล > การรักษาความปลอดภัย เพื่อแสดงหน้าการรักษาความปลอดภัย
    2. คลิก ใบรับรองเซิร์ฟเวอร์ ภายใต้ส่วนการจัดการใบรับรองเพื่อแสดงหน้าใบรับรองเซิร์ฟเวอร์
    3. คลิกแท็บ สร้างคำขอการลงนามใบรับรอง (CSR)
    4. กรอกข้อมูลคำขอลงในฟิลด์

      • ประเทศหรือภูมิภาค

      • รัฐหรือจังหวัด

      • เมืองหรือท้องถิ่น

      • องค์ประกอบ

      • แผนกของหน่วยงาน (ระบุหรือไม่ก็ได้)

      • ชื่อสามัญ

      ข้อควรสนใจ
      เลือกชื่อสามัญที่ตรงกับที่อยู่ IP หรือชื่อโฮสต์ที่ XClarity Administrator ใช้ในการเชื่อมต่ออุปกรณ์ที่ได้รับการจัดการ หากไม่เลือกค่าที่ถูกต้องอาจส่งผลให้เกิดการเชื่อมต่อที่ไม่น่าเชื่อถือ
    5. ทางเลือก: ปรับแต่ง เพิ่ม และลบ Subject Alternative Name ในส่วนขยาย X.509 subjectAltName ขณะสร้าง CSR ชื่อแสดงแทนบุคคลที่ได้รับการรับรองทั้งหมดที่แสดงอยู่ในตารางจะได้รับการตรวจสอบ บันทึก และเพิ่มให้กับ CSR หลังจากที่คุณสร้าง CSR ในขั้นถัดไปแล้วเท่านั้น

      ตามค่าเริ่มต้น XClarity Administrator จะกำหนด Subject Alternative Name สำหรับ CSR โดยอัตโนมัติตามที่อยู่ IP และชื่อโฮสต์ที่ค้นพบโดยอินเทอร์เฟซเครือข่ายของระบบปฏิบัติการเกสต์ของ XClarity Administrator

      ข้อควรสนใจ
      Subject Alternative Name ต้องมีชื่อโดเมนแบบเต็ม (FQDN) หรือที่อยู่ IP ของเซิร์ฟเวอร์การจัดการ และต้องตั้ง Subject Name เป็น FQDN ของเซิร์ฟเวอร์การจัดการ ตรวจสอบว่ากรอกข้อมูลในฟิลด์ที่จำเป็นเหล่านี้แล้วและมีความถูกต้องก่อนเริ่มกระบวนการ CSR เพื่อให้แน่ใจว่าใบรับรองจะเสร็จสมบูรณ์ ข้อมูลใบรับรองที่ขาดหายไปอาจส่งผลให้เกิดการเชื่อมต่อที่ไม่น่าเชื่อถือเมื่อพยายามเชื่อมต่ออินสแตนซ์ XClarity Administrator ไปยัง Lenovo XClarity Orchestrator

      ชื่อที่คุณระบุต้องถูกต้องสำหรับประเภทที่เลือก

      • directoryName (ตัวอย่างเช่น cn=lxca-example,ou=dcg,dc=company,dc=com)

      • dNSName (ตัวอย่างเช่น lxca-example.dcg.company.com)

      • ipAddress (ตัวอย่างเช่น 192.0.2.0)

      • registeredID (ตัวอย่างเช่น 1.2.3.4.55.6.5.99)

      • rfc822Name (ตัวอย่างเช่น example@company.com)

      • uniformResourceIdentifier (ตัวอย่างเช่น https://lxca-dev.dcg.company.com/example)

      หมายเหตุ
      SAN ทั้งหมดที่แสดงอยู่ในตารางจะได้รับการตรวจสอบ บันทึก และเพิ่มให้กับ CSR ก็ต่อเมื่อหลังจากที่คุณสร้าง CSR ในขั้นถัดไป
    6. คลิก สร้างไฟล์ CSR ใบรับรองเซิร์ฟเวอร์จะแสดงขึ้นในกล่องโต้ตอบ คำขอการลงนามใบรับรอง
      สำคัญ

      • ตรวจสอบว่าใบรับรองที่สร้างขึ้นใหม่มี FQDN และที่อยู่ IP ซึ่งเป็นส่วนหนึ่งของ Subject Alternative Name

      • หากอินสแตนซ์ XClarity Administrator นี้ได้รับการจัดการโดย XClarity Orchestrator โปรดตรวจสอบให้แน่ใจว่าใบรับรองที่สร้างขึ้นตาม CSR ถูกกำหนดค่าให้ใช้เป็นทั้งใบรับรองเซิร์ฟเวอร์และเป็น ใบรับรองของไคลเอ็นต์

    7. คลิก บันทึกไปยังไฟล์ เพื่อบันทึกใบรับรองเซิร์ฟเวอร์ไปยังเซิร์ฟเวอร์โฮสต์
  2. จัดหา CSR ให้กับหน่วยงานด้านใบรับรอง (CA) ที่น่าเชื่อถือ CA ลงนาม CSR และตอบกลับด้วยใบรับรองเซิร์ฟเวอร์
  3. อัปโหลดใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอกไปยัง XClarity Administrator เนื้อหาใบรับรองต้องเป็นกลุ่มเนื้อหาที่ประกอบด้วยใบรับรองรูทของ CA, ใบรับรองกลาง และใบรับรองเซิร์ฟเวอร์
    1. จากแถบเมนู XClarity Administrator ให้คลิก การดูแลระบบ > การรักษาความปลอดภัย เพื่อแสดงหน้าการรักษาความปลอดภัย
    2. คลิก ใบรับรองเซิร์ฟเวอร์ ภายใต้ส่วนการจัดการใบรับรอง
    3. คลิกแท็บ อัปโหลดใบรับรอง
    4. คลิก อัปโหลดใบรับรอง เพื่อแสดงกล่องโต้ตอบอัปโหลดใบรับรอง
    5. ระบุไฟล์กลุ่มใบรับรองในรูปแบบ PEM, DER หรือ PKCS7 หรือวางกลุ่มใบรับรองในรูปแบบ PEM
    6. คลิก อัปโหลด เพื่ออัปโหลดใบรับรองเซิร์ฟเวอร์ และเก็บใบรับรองในพื้นที่จัดเก็บที่น่าเชื่อถือ XClarity Administrator