跳到主要内容

使用安全证书

Lenovo XClarity Administrator 使用 SSL 证书建立 XClarity Administrator 与其受管设备(如 System x 服务器中的机箱和服务处理器)之间的安全可信的通信,以及用户与 XClarity Administrator 或其他服务之间的通信。默认情况下,XClarity Administrator、CMM 和主板管理控制器使用 XClarity Administrator 生成的由内部证书颁发机构颁发的自签名证书。

开始之前

本节适用于对 SSL 标准和 SSL 证书的概念及管理有基本了解的管理员。有关公钥证书的常规信息,请参阅 Wikipedia 中的“X.509”网页“Internet X.509 公钥基础结构证书 和证书吊销列表(CRL)Profile(RFC5280)”网页

关于本任务

在每个 XClarity Administrator 实例中唯一生成的默认自签名服务器证书为多种环境提供充分的安全性。可让 XClarity Administrator 为您管理证书,也可更主动地定制或替换服务器证书。XClarity Administrator 可根据所处环境定制证书。例如,可决定:
  • 通过重新生成内部证书颁发机构证书和/或具有组织特定值的最终服务器证书来生成一对新密钥。
  • 生成证书签名请求(CSR),该 CSR 可发送到所选的证书颁发机构以签署自定义证书并上传到 XClarity Administrator,用作其所有托管服务的最终服务器证书。
  • 将服务器证书下载到本地系统,以便将该证书导入到 Web 浏览器的可信证书列表中。

XClarity Administrator 提供多个接受传入 SSL/TLS 连接的服务。客户端(如受管设备或 Web 浏览器)连接到其中一个服务时,XClarity Administrator 将提供其服务器证书 以供尝试连接的客户端识别。客户端应保留一个其信任的证书的列表。如果 XClarity Administrator 的服务器证书未包含在客户端列表中,客户端将断开 XClarity Administrator 的连接以避免与不可信来源进行任何安全敏感信息的交换。

在与受管设备和外部服务通信时,XClarity Administrator 充当客户端。XClarity Administrator 连接到设备或外部服务时,该设备或外部服务将提供其服务器证书以供 XClarity Administrator 识别XClarity Administrator 会维护一个信任证书列表。如果受管设备或外部服务提供的可信证书 未包含在该列表中,XClarity Administrator 将断开该受管设备或外部服务的连接以避免与不可信来源进行任何安全敏感信息的交换。

XClarity Administrator 服务将使用以下类别的证书,这些证书要受所连接到的任何客户端的信任。

  • 服务器证书。在初始引导期间会生成唯一密钥和自签名证书。这些证书的颁发机构将视为默认的根证书颁发机构,可在 XClarity Administrator 安全设置中的“证书颁发机构”页面中进行管理。除非密钥已泄露或如果您的组织有策略要求必须定期更换所有证书,否则无需重新生成此根证书(请参阅重新生成或恢复 Lenovo XClarity Administrator 自签名服务器证书)。

    同样,在初始设置期间会生成单独密钥并创建由内部证书颁发机构签署的服务器证书。此证书用作默认的 XClarity Administrator 服务器证书。每次 XClarity Administrator 检测到网络地址(IP 或 DNS 地址)变化时将自动重新生成该证书,以确保该证书包含服务器的正确地址。此外也可按需定制和生成该证书(请参阅重新生成或恢复 Lenovo XClarity Administrator 自签名服务器证书)。

    可选择使用外部签署的服务器证书而不使用默认的自签名服务器证书。为此,需要生成证书签名请求(CSR),让 CSR 由私有或商业证书根证书颁发机构签名,然后将完整的证书链导入 XClarity Administrator 中(请参阅将定制的服务器证书部署到 Lenovo XClarity Administrator)。

    如果选择使用默认的自签名服务器证书,建议在 Web 浏览器中导入服务器证书作为可信根证书,以避免浏览器中出现证书错误消息(请参阅将证书颁发机构证书导入到 Web 浏览器中)。

  • 操作系统部署证书。操作系统部署服务使用单独的证书来确保操作系统安装程序在操作系统安装过程中可以安全地连接到部署服务。如果密钥已泄露,可通过重新启动管理软件来重新生成密钥。

XClarity Administrator 客户端使用以下类别(信任存储区)的证书。

  • 可信证书

    此信任存储区可管理在 XClarity Administrator 用作客户端时用于与本地资源建立安全连接的证书。本地资源的示例包括受管设备、转发事件时的本地软件以及外部 LDAP 服务器。

  • 外部服务证书。此信任存储区可管理在 XClarity Administrator 用作客户端时用于与外部服务建立安全连接的证书。外部服务的示例包括用于检索保修信息或创建服务凭单的在线 Lenovo 支持服务、可将事件转发到的外部软件(例如 Splunk)以及 Apple 和 Google 推送通知服务器(如果已为 iOS 或 Android 设备启用 Lenovo XClarity Mobile 推送通知)。此信任存储区包含由广受信任且世界知名的证书颁发机构提供商(例如 Digicert 和 Globalsign)的根证书颁发机构颁发的预配置可信证书。

    当配置 XClarity Administrator 来使用需要连接到其他外部服务的功能时,请参阅相应文档以确定是否需要手动将证书添加到此信任存储区。

    请注意,除非同时将此信任存储区中的证书添加到主要“可信证书”信任存储区,否则这些证书在与其他服务(例如 LDAP)建立连接时不会受信任。从此信任存储区删除证书会导致这些服务无法成功运行。

XClarity Administrator 支持 RSA-3072/SHA-384、RSA-2048/SHA-256 和 ECDSA p256/SHA-256 证书签名。根据具体配置,可能支持其他算法(例如 SHA-1 增强版或 SHA 散列)。请考虑 XClarity Administrator 中选择的加密模式(请参阅在管理软件上配置加密设置)、为受管服务器选择的安全设置(配置受管服务器的安全设置),以及环境中其他软件和设备的功能。基于包括 p256 在内的某些椭圆曲线(但并非所有椭圆曲线)的 ECDSA 证书在“可信证书”页面上和 XClarity Administrator 证书签名链中受支持,但这些证书当前 支持供 XClarity Administrator 服务器证书使用。
XClarity Administrator 为采用严格模式的配备 XCC2 的服务器使用 RSA-3072/SHA-384 证书签名。
  • 安装定制的外部签署的服务器证书
    可决定使用由私人或商业证书颁发机构(CA)签名的服务器证书。
  • 重新生成或恢复 Lenovo XClarity Administrator 自签名服务器证书
    如果 XClarity Administrator 当前使用自定义的外部签署的服务器证书,则可生成新的证书颁发机构或服务器证书来替换当前的自签名证书或者恢复 Lenovo XClarity Administrator 生成的证书。然后,XClarity Administrator 上的认证、HTTPS 和 CIM 服务器将使用新的自签名服务器证书。该证书将被自动配置到所有受管设备。
  • 解析不受信任的服务器证书
    用于与受管设备建立安全连接的服务器证书可能会变得不可信。如果问题是 Lenovo XClarity Administrator 信任存储区中的设备 CA 根证书或设备自签名证书的版本不够高所致,则 XClarity Administrator 可解析不可信的服务器证书。
  • 下载服务器证书
    可将当前服务器证书的 PEM 或 DER 格式副本下载到本地系统。随后可将证书导入 Web 浏览器或其他应用程序(例如 Lenovo XClarity MobileLenovo XClarity Integrator)中。
  • 将证书颁发机构证书导入到 Web 浏览器中
    要避免 Web 浏览器在您访问 Lenovo XClarity Administrator 时显示安全警告消息,可将当前证书颁发机构(CA)证书的 PEM 或 DER 格式副本下载到本地系统,然后将该证书导入到 Web 浏览器的可信证书列表中。
  • 添加和替换证书吊销列表
    证书吊销列表 是已吊销且不再信任的证书的列表。如果 CA 颁发证书有误,或证书的密钥发生泄漏、丢失或被盗,则可能会吊销该证书。