将定制服务器证书部署到受管设备
可通过使用受管设备的 CMM 和管理控制器上传并安装外部签署的证书捆绑包,将定制服务器证书部署到这些设备。
开始之前
确保所有受管设备上均装有最新固件(请参阅更新受管设备上的固件)。
生成定制证书的证书签名请求(CSR)时,所选的公用名务必与用于标识设备的 IP 地址或主机名称匹配。未能选择正确的值可能会导致连接不受信任。
确保所获得的证书捆绑包中含有可用于验证完整证书信任链的整个签名链 - 从最终服务器证书到可信 CA 的根(基准)证书。
受管设备“脱机”时,请勿更改 Lenovo XClarity Administrator 服务器证书。必须先修复连接再修改 Lenovo XClarity Administrator,否则可能需要采取其他步骤来修复连接问题(请参阅解析不受信任的服务器证书)。
关于本任务
本节包含关于确保 Lenovo XClarity Administrator 与受管设备之间持续成功通信的建议。有关如何生成 CSR 并导入签名证书的详细说明,请参阅设备文档。
如果 Lenovo XClarity Administrator 正在管理一个或多个机箱、机架服务器和立式服务器,且默认 Lenovo XClarity Administrator 内部签署证书当前安装在 Lenovo XClarity Administrator 和受管设备上,则可部署定制服务器证书。
如果外部签署的服务器证书在您尝试通过 Lenovo XClarity Administrator 管理设备之前 就已安装在设备上,则无需执行其他步骤。要将定制服务器证书部署到 Lenovo XClarity Administrator 管理下进行管理的设备,必须执行以下步骤之一来确保管理软件与受管设备之间具有持续连接。
过程
根据以下方案之一将定制的外部签署的服务器证书部署到受管机箱或服务器。
如果 Lenovo XClarity Administrator 使用与受管设备相同的证书颁发机构所签署的证书,请执行将定制的服务器证书部署到 Lenovo XClarity Administrator中的步骤之后 再将证书安装在受管设备上。安装来自同一 CA 的 Lenovo XClarity Administrator 证书链将确保证书链在 Lenovo XClarity Administrator 信任存储区中且 Lenovo XClarity Administrator 可以在此处安装外部签署的证书之后信任设备。
将 CA 签名链中的外部签署的证书添加到 Lenovo XClarity Administrator 信任存储区。
必须将 CA 根证书和所有中间证书一次一个地添加到 Lenovo XClarity Administrator 信任存储区。可采用任意顺序。每个证书都必须安装一次,如此一来,如果所有设备使用相同的 CA 证书和中间证书,则 CA 和每个中间证书必须一次性安装在 Lenovo XClarity Administrator 信任存储区中。如果使用多个 CA 或一个中间 CA,请确保在以下步骤中导入用于受管设备签名链中的每个唯一 CA 根证书或中间证书。
注请勿在这些步骤中添加最终非 CA 服务器证书。对捆绑包中的每个证书执行以下步骤。
从 Lenovo XClarity Administrator 菜单栏中,单击以显示“安全性”页面。
在左侧导航窗格中的“证书管理”下单击可信证书。
单击创建图标(
)以显示“添加证书”对话框。指定 PEM 或 DER 格式的证书文件,或粘贴 PEM 格式的证书。
单击创建以创建证书。
安装 CA 签名链后,Lenovo XClarity Administrator 即信任与装有外部签署的服务器证书的 CMM 和管理控制器上 CIM 服务器的连接。
将外部签署的证书导入到受管设备中。
注如果Lenovo XClarity Administrator 信任存储区中不存在必要的证书,则会失去 Lenovo XClarity Administrator 与受管设备之间的连接。请执行“解析不受信任的服务器证书”中的步骤以修复连接。 重要此方案涉及连接暂时中断;因此,建议使用上文所述的方案之一。