跳到主要内容

将定制的服务器证书部署到 Lenovo XClarity Administrator

可选择生成证书签名请求(CSR)以供贵组织的证书颁发机构或第三方证书颁发机构签署。CSR 创建一个完整证书链,您可以导入该证书链并将其用于替代默认的唯一内部签署证书。

开始之前

确保证书详细信息包括以下要求。

  • 密钥用法必须包含

    • 密钥协议

    • 数字签名

    • 密钥加密

  • 增强型密钥用法必须包含

    • 服务器认证(1.3.6.1.5.5.7.3.1)

    • 客户端认证(1.3.6.1.5.5.7.3.2)

关于本任务

注意
如果已启用 NIST SP 800-131A(请参阅实现 NIST SP 800-131A 合规性),并且您正在使用或计划使用 NIST 认可的自定义或外部签署证书,则该证书链中的所有证书都必须基于 SHA-256 散列功能。

上传服务器证书后,XClarity Administrator 尝试向所有受管设备配置新的 CA 证书。如果配置过程成功,XClarity Administrator 立即开始使用新的服务器证书。如果该过程失败,则会提供错误消息来指导您手动纠正任何问题,然后应用新导入的服务器证书。在纠正错误之后,请完成先前上传证书的安装。

如果 XClarity Administrator 已经使用同一证书颁发机构签署的证书,则无需将 CA 发送到设备,XClarity Administrator 将立即开始使用此证书。

XClarity Administrator v3.6 及更低版本中上传证书后,系统会使用新证书新建会话,而不会终止现有会话。要查看当前会话中的新证书,请重新启动 Web 浏览器。

对于 XClarity Administrator v4.0 及更高版本,Web 浏览器会重新启动并自动终止所有浏览器会话。要继续使用 XClarity Administrator,必须重新登录。

过程

要生成定制的外部签署的服务器证书并将其部署到 Lenovo XClarity Administrator,请完成以下步骤。

  1. XClarity Administrator 创建和下载证书签名请求(CSR)。
    1. XClarity Administrator 菜单栏中,单击管理 > 安全性以显示“安全性”页面。
    2. 在“证书管理”部分下单击服务器证书以显示“服务器证书”页面。
    3. 单击生成证书签名请求(CSR) 选项卡。
    4. 请填写请求的字段。

      • 国家或地区

      • 省/自治区/直辖市

      • 城市或地区

      • 组织

      • 组织单位(可选)

      • 公用名

      注意
      选择与 XClarity Administrator 用于连接到受管设备的 IP 地址或主机名匹配的公用名。未能选择正确的值可能会导致连接不受信任。
    5. 可选: 自定义、添加和删除生成 CSR 时在 X.509subjectAltName扩展名中使用的主题备用名称。仅当您在下一步中生成 CSR 后,才会在 CSR 中验证、保存和添加表格中列出的所有主题备用名称。

      默认情况下,XClarity Administrator 会根据 XClarity Administrator 来宾操作系统的网络接口发现的 IP 地址和主机名自动为该 CSR 定义主题备用名称。

      注意
      主题备用名称必须包含管理软件的完全限定域名(FQDN)或 IP 地址,并且主题名称必须设置为管理软件的 FQDN。为确保生成的证书完整,在开始 CSR 过程之前,请验证这些必填字段是否存在且正确。缺少证书数据可能会导致在尝试将 XClarity Administrator 实例连接到 Lenovo XClarity Orchestrator 时连接不受信任。

      指定的名称必须对所选的类型有效。

      • directoryName(例如,cn=lxca-example,ou=dcg,dc=company,dc=com

      • dNSName(例如,lxca-example.dcg.company.com

      • ipAddress(例如,192.0.2.0

      • registeredID(例如,1.2.3.4.55.6.5.99

      • rfc822Name(例如,example@company.com

      • uniformResourceIdentifier(例如,https://lxca-dev.dcg.company.com/example

      仅当您在下一步中生成 CSR 后,才会在 CSR 中验证、保存和添加表格中列出的所有 SAN。
    6. 单击生成 CSR 文件。服务器证书会显示在“证书签名请求”对话框中。
      重要

      • 验证新生成的证书是否在主题备用名称中包含 FQDN 和 IP 地址。

      • 如果此 XClarity Administrator 实例由 XClarity Orchestrator 进行管理,请确保根据 CSR 生成的证书已配置为既用作服务器证书 又用作客户端证书

    7. 单击保存到文件以将服务器证书保存到主机服务器。
  2. 向可信证书颁发机构(CA)提供 CSR。CA 签署 CSR 并以服务器证书进行响应。
  3. 将外部签署的服务器证书上传到 XClarity Administrator。证书内容必须是捆绑包,其中包含 CA 的根证书、任何中间证书和服务器证书。
    1. XClarity Administrator 菜单栏中,单击管理 > 安全性以显示“安全性”页面。
    2. 单击“证书管理”部分下的服务器证书
    3. 单击上传证书选项卡。
    4. 单击上传证书以显示“上传证书”对话框。
    5. 指定一个 PEM、DER 或 PKCS7 格式的证书捆绑包文件,或粘贴 PEM 格式的证书捆绑包。
    6. 单击上传以上传服务器证书并将该证书存储在 XClarity Administrator 信任存储区中。