Skip to main content

การทำงานกับใบรับรองด้านความปลอดภัย

Lenovo XClarity Administrator ใช้ใบรับรอง SSL ในการสร้างการสื่อสารที่ปลอดภัยและน่าเชื่อถือระหว่าง XClarity Administrator และอุปกรณ์ที่ได้รับการจัดการ (เช่น ตัวเครื่องและโปรเซสเซอร์การบริการในเซิร์ฟเวอร์ System x) รวมถึงการสื่อสารกับ XClarity Administrator โดยผู้ใช้ หรือกับบริการอื่นๆ ตามค่าเริ่มต้น XClarity Administrator, CMM และตัวควบคุมการจัดการจะใช้ใบรับรองที่สร้างโดย XClarity Administrator ที่ลงนามด้วยตนเองและออกให้โดยหน่วยงานด้านใบรับรองภายใน

ก่อนจะเริ่มต้น

ส่วนนี้มีไว้สำหรับผู้ดูแลระบบที่มีความเข้าใจพื้นฐานเกี่ยวกับมาตรฐาน SSL และใบรับรอง SSL รวมถึงความหมายและวิธีจัดการมาตรฐานและใบรับรองเหล่านี้ สำหรับข้อมูลทั่วไปเกี่ยวกับใบรับรองคีย์สาธารณะ โปรดดู เว็บเพจ X.509 ใน Wikipedia และ เว็บเพจ Internet X.509 Public Key Infrastructure Certificate และ Certificate Revocation List (CRL) Profile (RFC5280)

เกี่ยวกับงานนี้

ใบรับรองเซิร์ฟเวอร์ที่ลงนามด้วยตนเองเริ่มต้น ซึ่งถูกสร้างขึ้นโดยไม่ซ้ำกันในทุกอินสแตนซ์ของ XClarity Administrator จะมอบการรักษาความปลอดภัยที่เพียงพอสำหรับสภาพแวดล้อมต่างๆ มากมาย คุณสามารถเลือกที่จะให้ XClarity Administrator จัดการใบรับรองให้คุณ หรือคุณสามารถรับบทบาทที่ใช้งานอยู่เพิ่มเติมและเปลี่ยนหรือกำหนดใบรับรองเซิร์ฟเวอร์เอง XClarity Administrator จะให้ตัวเลือกสำหรับการกำหนดใบรับรองเองสำหรับสภาพแวดล้อมของคุณ ตัวอย่างเช่น คุณสามารถเลือก:
  • สร้างคีย์คู่ใหม่โดยการสร้างผู้ให้บริการออกใบรับรองภายในและ/หรือใบรับรองเซิร์ฟเวอร์ปลายทางขึ้นมาใหม่ที่ใช้ค่าที่เฉพาะเจาะจงกับองค์กรของคุณ
  • สร้างคำขอการลงนามใบรับรอง (CSR) ที่สามารถส่งไปยังผู้ให้บริการออกใบรับรองที่คุณเลือกเพื่อลงนามใบรับรองที่กำหนดเอง ซึ่งสามารถอัปโหลดไปยัง XClarity Administrator เพื่อใช้เป็นใบรับรองเซิร์ฟเวอร์ปลายทางสำหรับบริการที่โฮสต์ทั้งหมด
  • ดาวน์โหลดใบรับรองเซิร์ฟเวอร์ไปยังระบบภายในเพื่อให้คุณสามารถนำเข้าใบรับรองนั้นลงในรายการใบรับรองที่เชื่อถือได้ของเว็บเบราเซอร์

XClarity Administrator ให้บริการหลายอย่างที่ยอมรับการเชื่อมต่อ SSL/TLS ขาเข้า เมื่อไคลเอ็นต์ เช่น อุปกรณ์ที่ได้รับการจัดการหรือเว็บเบราเซอร์ เชื่อมต่อกับบริการใดบริการหนึ่งเหล่านี้ XClarity Administrator จะระบุ ใบรับรองเซิร์ฟเวอร์ เพื่อให้ไคลเอนต์ที่พยายามเชื่อมต่อระบุเซิร์ฟเวอร์ได้ ไคลเอ็นต์ควรเก็บรักษารายการใบรับรองที่ตัวเองเชื่อถือ หากใบรับรองเซิร์ฟเวอร์ของ XClarity Administrator ไม่รวมอยู่ในรายการของไคลเอ็นต์ ไคลเอ็นต์จะตัดการเชื่อมต่อจาก XClarity Administrator เพื่อหลีกเลี่ยงการแลกเปลี่ยนข้อมูลที่มีความละเอียดอ่อนด้านการรักษาความปลอดภัยกับแหล่งที่ไม่น่าเชื่อถือ

XClarity Administrator ทำหน้าที่เป็นไคลเอ็นต์เมื่อสื่อสารกับอุปกรณ์ที่ได้รับการจัดการและบริการภายนอก เมื่อ XClarity Administrator เชื่อมต่อกับอุปกรณ์หรือบริการภายนอก อุปกรณ์หรือบริการภายนอกจะระบุใบรับรองเซิร์ฟเวอร์ของตัวเองเพื่อให้ XClarity Administrator ระบุอุปกรณ์หรือบริการนั้นได้ XClarity Administrator จะเก็บรักษารายการใบรับรองที่ตัวเองเชื่อถือ หาก ใบรับรองที่เชื่อถือได้ ที่อุปกรณ์ที่ได้รับการจัดการหรือบริการภายนอกนั้นระบุไม่มีรวมอยู่ในรายการ XClarity Administrator จะตัดการเชื่อมต่อกับอุปกรณ์ที่ได้รับการจัดการหรือบริการภายนอก เพื่อหลีกเลี่ยงการแลกเปลี่ยนข้อมูลที่มีความละเอียดอ่อนด้านการรักษาความปลอดภัยกับแหล่งที่ไม่น่าเชื่อถือ

ประเภทของใบรับรองต่อไปนี้ใช้โดยบริการ XClarity Administrator และควรได้รับการเชื่อถือโดยไคลเอ็นต์ที่เชื่อมต่อกับใบรับรอง

  • ใบรับรองเซิร์ฟเวอร์ ระหว่างการบูตเริ่มต้น ระบบจะสร้างคีย์และใบรับรองที่ลงนามด้วยตนเองที่ไม่ซ้ำกัน รายการเหล่านี้จะใช้เป็นผู้ให้บริการออกใบรับรองรูท ซึ่งสามารถจัดการได้ในหน้าหน่วยงานด้านใบรับรองในการตั้งค่าการรักษาความปลอดภัย XClarity Administrator ไม่จำเป็นต้องสร้างใบรับรองรูทนี้ใหม่ เว้นแต่คีย์จะถูกบุกรุก หรือหน่วยงานของคุณมีนโยบายที่กำหนดให้เปลี่ยนใบรับรองทั้งหมดเป็นระยะ (ดูที่ การคืนค่าหรือสร้างใบรับรองเซิร์ฟเวอร์ที่ลงนามด้วยตนเองของ Lenovo XClarity Administrator ใหม่)

    นอกจากนี้ ระหว่างการตั้งค่าเริ่มต้น จะมีการสร้างคีย์ที่แยกต่างหาก และใบรับรองเซิร์ฟเวอร์จะถูกสร้างขึ้นและลงนามโดยผู้ให้บริการออกใบรับรองภายใน ใบรับรองนี้จะใช้เป็นใบรับรองเซิร์ฟเวอร์ XClarity Administrator ตามค่าเริ่มต้น ซึ่งจะสร้างใหม่โดยอัตโนมัติในแต่ละครั้งที่ XClarity Administrator ตรวจพบว่าที่อยู่เครือข่าย (ที่อยู่ IP หรือ DNS) เปลี่ยนแปลงเพื่อทำให้แน่ใจว่าใบรับรองมีที่อยู่ที่ถูกต้องสำหรับเซิร์ฟเวอร์ ซึ่งสามารถกำหนดเองและสร้างตามความต้องการ (ดูที่ การคืนค่าหรือสร้างใบรับรองเซิร์ฟเวอร์ที่ลงนามด้วยตนเองของ Lenovo XClarity Administrator ใหม่)

    คุณสามารถเลือกใช้ใบรับรองเซิร์ฟเวอร์ที่ลงนามภายนอกแทนใบรับรองเซิร์ฟเวอร์ที่ลงนามด้วยตนเองเริ่มต้นโดยสร้างคำขอการลงนามใบรับรอง (CSR) ให้ CSR ลงนามโดยผู้ให้บริการออกใบรับรองรูทในเชิงพาณิชย์หรือส่วนตัว จากนั้นนำเข้ากลุ่มใบรับรองทั้งหมดลงใน XClarity Administrator (ดู การปรับใช้ใบรับรองเซิร์ฟเวอร์ที่กำหนดเองกับ Lenovo XClarity Administrator)

    หากคุณเลือกที่จะใช้ใบรับรองเซิร์ฟเวอร์ที่ลงนามด้วยตนเองเริ่มต้น ขอแนะนำให้คุณนำเข้าใบรับรองเซิร์ฟเวอร์ในเว็บเบราเซอร์เป็นหน่วยงานด้านใบรับรองรูทที่เชื่อถือได้ เพื่อหลีกเลี่ยงข้อความแสดงข้อผิดพลาดของใบรับรองในเบราเซอร์ของคุณ (ดู การนำเข้าใบรับรองของหน่วยงานด้านใบรับรองลงในเว็บเบราเซอร์)

  • ใบรับรองการปรับใช้ OS บริการการปรับใช้ระบบปฏิบัติการจะใช้ใบรับรองที่แยกต่างหาก เพื่อทำให้แน่ใจว่าโปรแกรมติดตั้งระบบปฏิบัติการสามารถเชื่อมต่อกับบริการการปรับใช้ได้อย่างปลอดภัยในระหว่างขั้นตอนการติดตั้งระบบปฏิบัติการ หากคีย์ถูกบุกรุก คุณสามารถสร้างคีย์ใหม่โดยรีสตาร์ทเซิร์ฟเวอร์การจัดการ

ใบรับรองประเภทต่อไปนี้ (พื้นที่จัดเก็บที่น่าเชื่อถือ) ถูกใช้โดยไคลเอ็นต์ XClarity Administrator

  • ใบรับรองที่เชื่อถือได้

    พื้นที่จัดเก็บที่น่าเชื่อถือนี้จะจัดการใบรับรองที่ใช้เพื่อสร้างการเชื่อมต่อที่ปลอดภัยกับทรัพยากรภายในเมื่อ XClarity Administrator ทำหน้าที่เป็นไคลเอ็นต์ ตัวอย่างของทรัพยากรภายใน ได้แก่ อุปกรณ์ที่มีการจัดการ ซอฟต์แวร์ภายในเมื่อส่งต่อเหตุการณ์ และเซิร์ฟเวอร์ LDAP ภายนอก

  • ใบรับรองบริการภายนอก พื้นที่จัดเก็บที่น่าเชื่อถือนี้จะจัดการใบรับรองที่ใช้เพื่อสร้างการเชื่อมต่อที่ปลอดภัยกับบริการภายนอกเมื่อ XClarity Administrator ทำหน้าที่เป็นไคลเอ็นต์ ตัวอย่างของบริการภายนอก ได้แก่ บริการสนับสนุนออนไลน์ของ Lenovo ที่ใช้ในการดึงข้อมูลการรับประกันหรือสร้างทิคเก็ตบริการ ซอฟต์แวร์ภายนอก (เช่น Splunk) ที่สามารถส่งต่อเหตุการณ์ได้ และเซิร์ฟเวอร์การแจ้งเตือนแบบพุชของ Apple และ Google หาก มีการเปิดใช้งานการแจ้งเตือนแบบพุชของ Lenovo XClarity Mobile สำหรับอุปกรณ์ iOS หรือ Android ประกอบด้วยใบรับรองที่เชื่อถือได้ที่กำหนดค่าไว้ล่วงหน้าจากผู้ให้บริการออกใบรับรองรูทจากผู้ให้บริการออกใบรับรองที่เชื่อถือได้และเป็นที่รู้จักทั่วโลก (เช่น Digicert และ Globalsign)

    เมื่อคุณกําหนดค่า XClarity Administrator เพื่อใช้คุณลักษณะที่ต้องใช้การเชื่อมต่อกับบริการภายนอกอื่น โปรดดูเอกสารที่ระบุว่าคุณต้องเพิ่มใบรับรองลงในพื้นที่จัดเก็บที่น่าเชื่อถือนี้ด้วยตนเองหรือไม่

    โปรดทราบว่าใบรับรองในพื้นที่จัดเก็บที่น่าเชื่อถือนี้จะไม่น่าเชื่อถือเมื่อสร้างการเชื่อมต่อกับบริการอื่นๆ (เช่น LDAP) เว้นแต่คุณเพิ่มใบรับรองเหล่านั้นในพื้นที่จัดเก็บที่น่าเชื่อถือของใบรับรองที่เชื่อถือได้หลักด้วย การนำใบรับรองออกจากพื้นที่จัดเก็บที่น่าเชื่อถือนี้จะป้องกันไม่ให้บริการเหล่านี้ดำเนินการได้สำเร็จ

XClarity Administrator รองรับลายเซ็นใบรับรอง RSA-3072/SHA-384, RSA-2048/SHA-256 และ ECDSA p256/SHA-256 อัลกอริทึมอื่นๆ เช่น SHA-1 ที่สูงกว่าหรือการแฮช SHA อาจได้รับการรองรับโดยขึ้นอยู่กับการกำหนดค่าของคุณ พิจารณาโหมดการเข้ารหัสที่เลือกใน XClarity Administrator (ดู การกําหนดค่าการตั้งค่าการเข้ารหัสบนเซิร์ฟเวอร์การจัดการ) การตั้งค่าการรักษาความปลอดภัยที่เลือกสำหรับเซิร์ฟเวอร์ที่มีการจัดการ (การกําหนดค่าการตั้งค่าการรักษาความปลอดภัยสำหรับเซิร์ฟเวอร์ที่มีการจัดการ) และความสามารถของซอฟต์แวร์และอุปกรณ์อื่นๆ ในสภาพแวดล้อมของคุณ ใบรับรอง ECDSA ที่อ้างอิงกับ Elliptic Curves บางชนิด (รวมถึง p256) แต่ไม่รวม Elliptic Curves ทั้งหมดนั้นได้รับการสนับสนุนในหน้าใบรับรองที่เชื่อถือได้และในสายการลงนามของใบรับรอง XClarity Administrator แต่ ไม่ได้ รับการสนับสนุนเพื่อใช้โดยใบรับรองเซิร์ฟเวอร์ XClarity Administrator
หมายเหตุ
XClarity Administrator ใช้ลายเซ็นใบรับรอง RSA- 3072/SHA-384 สำหรับ เซิร์ฟเวอร์ที่มี XCC2 ในโหมดรัดกุม
  • การติดตั้งใบรับรองเซิร์ฟเวอร์แบบกำหนดเองที่ลงนามจากภายนอก
    คุณสามารถเลือกใช้ใบรับรองเซิร์ฟเวอร์ที่มีการลงนามโดยหน่วยงานด้านใบรับรอง (CA) เอกชนหรือพาณิชย์
  • การคืนค่าหรือสร้างใบรับรองเซิร์ฟเวอร์ที่ลงนามด้วยตนเองของ Lenovo XClarity Administrator ใหม่
    คุณสามารถสร้างหน่วยงานด้านใบรับรองหรือใบรับรองเซิร์ฟเวอร์ใหม่เพื่อแทนที่ใบรับรองที่ลงนามด้วยตนเองปัจจุบัน หรือนำใบรับรองที่สร้างโดย Lenovo XClarity Administrator กลับมาใช้อีก หาก XClarity Administrator ใช้ใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอกที่กำหนดเองอยู่ในปัจจุบัน จากนั้นเซิร์ฟเวอร์การตรวจสอบความถูกต้อง, HTTPS และ CIM จะใช้ใบรับรองเซิร์ฟเวอร์ที่ลงนามด้วยตนเองใหม่บน XClarity Administrator ซึ่งยังได้รับการเตรียมใช้งานกับอุปกรณ์ที่ได้รับการจัดการทั้งหมดโดยอัตโนมัติด้วย
  • การแก้ปัญหาใบรับรองเซิร์ฟเวอร์ที่ไม่น่าเชื่อถือ
    ใบรับรองเซิร์ฟเวอร์ที่ใช้ในการสร้างการเชื่อมต่อที่ปลอดภัยกับอุปกรณ์ที่ได้รับการจัดการอาจเปลี่ยนเป็นใบรับรองที่ไม่น่าเชื่อถือได้ หากปัญหาเกิดจากการลดระดับเวอร์ชันของใบรับรองรูท CA หรือใบรับรองที่ลงนามด้วยตนเองของอุปกรณ์ในพื้นที่จัดเก็บที่น่าเชื่อถือ Lenovo XClarity Administrator XClarity Administrator สามารถแก้ปัญหาใบรับรองเซิร์ฟเวอร์ที่ไม่น่าเชื่อถือ
  • การดาวน์โหลดใบรับรองเซิร์ฟเวอร์
    คุณสามารถดาวน์โหลดสำเนาของใบรับรองเซิร์ฟเวอร์ปัจจุบันในรูปแบบ PEM หรือ DER ลงในระบบภายในของคุณ แล้วคุณจะสามารถนำเข้าใบรับรองลงในเว็บเบราเซอร์หรือแอปพลิเคชันอื่น (เช่น Lenovo XClarity Mobile หรือ Lenovo XClarity Integrator)
  • การนำเข้าใบรับรองของหน่วยงานด้านใบรับรองลงในเว็บเบราเซอร์
    เพื่อหลีกเลี่ยงข้อความแจ้งเตือนด้านการรักษาความปลอดภัยจากเว็บเบราเซอร์เมื่อคุณเข้าถึง Lenovo XClarity Administrator คุณสามารถดาวน์โหลดสำเนาใบรับรองของหน่วยงานด้านใบรับรอง (CA) ปัจจุบันในรูปแบบ PEM หรือ DER ลงในระบบภายในของคุณ แล้วจึงนำเข้าใบรับรองดังกล่าวลงในรายการใบรับรองที่เชื่อถือได้ของเว็บเบราเซอร์
  • การเพิ่มและเปลี่ยนรายการเพิกถอนใบรับรอง
    รายการเพิกถอนใบรับรอง คือรายการใบรับรองที่ถูกเพิกถอนและเชื่อถือไม่ได้อีกต่อไป อาจมีการเพิกถอนใบรับรองหาก CA ออกให้อย่างไม่ถูกต้อง หรือคีย์ใบรับรองถูกบุกรุก สูญหาย หรือถูกขโมย