跳到主要内容

重新生成或恢复 Lenovo XClarity Administrator 自签名服务器证书

如果 XClarity Administrator 当前使用自定义的外部签署的服务器证书,则可生成新的证书颁发机构或服务器证书来替换当前的自签名证书或者恢复 Lenovo XClarity Administrator 生成的证书。然后,XClarity Administrator 上的认证、HTTPS 和 CIM 服务器将使用新的自签名服务器证书。该证书将被自动配置到所有受管设备。

开始之前

重新生成或上传 XClarity Administrator 证书时,XClarity Administrator 将重新启动。

如果生成新的 CA 证书,新 CA 证书将自动部署到所有受管机箱、机架服务器和立式服务器中的每个 CMM 和主板管理控制器中的信任存储区,以维持信任的认证服务器连接。如果在部署 CA 根证书时发生错误,请从“证书颁发机构”页面下载该证书,并手动将其导入未成功将其配置到的任何受管设备的信任存储区中,然后再生成新的服务器证书。

如果计划重新生成 CA 证书,请留出时间来重新生成 CA,解决任何配置错误,然后在短时间内重新生成服务器证书。

生成新的 CA 根证书之后可能会发生通信错误,或者可能需要重新生成并签署服务器证书才能登录到设备。

重要
对于 XClarity Administrator 1.1.1 版和更低版本,必须将该 CA 根证书导入到每个 CMM 和管理控制器的信任存储区中。有关导入 CA 根证书的详细信息,请参阅 CMM 和管理控制器的文档。
注意
如果在启用 SAML 后重新生成了根证书,请使用 XClarity Administrator 本地帐户登录并重新配置 SAML。

过程

完成以下步骤以将自签名服务器证书恢复到 XClarity Administrator 上。

XClarity Administrator 上当前正在使用的服务器证书(无论是自签名证书还是外部签署的证书)将保持使用状态,直到重新生成并签署新的服务器证书为止。

  1. 可选: 生成新的 CA 根证书。
    1. XClarity Administrator 菜单栏中,单击管理 > 安全性以显示“安全性”页面。
    2. 在“证书管理”部分下单击证书颁发机构
    3. 单击重新生成证书颁发机构根证书

    如果成功重新生成 CA 密钥和证书,则会显示一个对话框,其中显示将该证书作为 LDAP 可信证书向所有受管 CMM 以及管理控制器(对于 Converged、NeXtScale 和 System x 服务器)进行配置的作业状态。此对话框以及作业监控页面会显示其中每个配置作业成功还是失败。

    如果任何配置作业失败,请完成以下步骤以下载 CA 根证书,然后在作业失败的任何设备中手动将根证书导入为可信 LDAP 证书。

  2. 可选: 将 CA 根证书下载到主机系统,并将其导入 Web 浏览器中。
    1. XClarity Administrator 菜单栏中,单击管理 > 安全性以显示“安全性”页面。
    2. 在“证书管理”部分下单击证书颁发机构
    3. 单击下载证书颁发机构根证书。随后在“证书颁发机构根证书”对话框中显示当前 CA 根证书。
    4. 单击保存到文件以将该 CA 根证书保存到主机系统。
    5. 遵循您的 Web 浏览器以及其他要访问 XClarity Administrator 的用户的 Web 浏览器的说明,将证书导入为可信的根证书。
  3. 重新生成新的服务器证书并用新的 CA 根证书签署该证书。
    1. 从“安全性”页面中,单击“证书管理”部分下的服务器证书
    2. 单击重新生成服务器证书选项卡。
    3. 填写“重新生成服务器证书”页面中的字段:
      • 国家或地区
      • 省/自治区/直辖市
      • 城市或地区
      • 组织
      • 组织单位
      • 公用名
      • 生效日期
      • 生效时间
      • 失效日期
      • 失效时间
    4. 单击重新生成证书
    5. 如果在(Converged、NeXtScale、ThinkSystem 和 System x 服务器的)受管 CMM 和管理控制器上重新生成自签名证书,请在每个设备上重新生成证书之后,将新的设备证书导入到 XClarity Administrator 信任存储区中(请参阅解析不受信任的服务器证书)。或者,也可从设备手动下载证书,然后在可信证书页面上将其导入到 XClarity Administrator 中。

    对于 XClarity Administrator 1.1.0 版和更低版本,Web 服务器在重新生成证书之后重新启动并自动终止所有的浏览器会话。对于 XClarity Administrator 1.1.1 版和更高版本,XClarity Administrator 开始使用新证书,而不会终止现有会话。新会话将以新证书建立。要查看正在使用的新证书,请重新启动 Web 浏览器。

  4. 如果在(Converged、NeXtScale、ThinkSystem 和 System x 服务器的)受管 CMM 和管理控制器上重新生成自签名证书,请在每个设备上重新生成证书之后,将新的设备证书导入到 XClarity Administrator 信任存储区中(请参阅解析不受信任的服务器证书)。或者,也可从设备手动下载证书,然后在可信证书页面上将其导入到 XClarity Administrator 中。