跳至主要内容

部署自訂的伺服器憑證至 Lenovo XClarity Administrator

您可以選擇產生憑證簽章要求 (CSR),由您組織的憑證管理中心或第三方的憑證管理中心簽章。您可以匯入及使用 CSR 建立的完整憑證鏈結,以取代唯一預設的內部簽署憑證。

開始之前

確定憑證詳細資料包含下列需求。

  • 金鑰使用方法必須包含

    • 金鑰合約

    • 數位簽章

    • 金鑰編密

  • 增強金鑰使用方法必須包含

    • 伺服器鑑別 (1.3.6.1.5.5.7.3.1)

    • 用戶端鑑別 (1.3.6.1.5.5.7.3.2)

關於此作業

小心
如果已啟用 NIST SP 800-131A(請參閱實作 NIST SP 800-131A 標準),而且您正在使用或計劃使用 NIST 中的自訂或外部簽署憑證,則該憑證鏈中的所有憑證都必須基於 SHA-256 雜湊功能。

上傳伺服器憑證後,XClarity Administrator 嘗試將新的 CA 憑證供應給所有受管理的裝置。如果供應程序成功,XClarity Administrator 會開始立即使用新的伺服器憑證。如果程序失敗,會提供錯誤訊息,指示您先手動更正所有問題,再套用新匯入的伺服器憑證。更正錯誤後,請完成先前上傳的憑證安裝。

如果 XClarity Administrator 已在使用相同主要管理中心簽署的憑證,則 CA 不需要傳送至裝置,XClarity Administrator 會立即開始使用憑證。

XClarity Administrator v3.6 和更舊版本中上傳憑證之後,將使用新的憑證建立新的階段作業,而不會終止現有的階段作業。若要在目前階段作業中查看新的憑證,請重新啟動您的 Web 瀏覽器。

對於 XClarity Administrator v4.0 和更新版本,Web 伺服器會重新啟動並自動終止所有瀏覽器階段作業。若要繼續在 XClarity Administrator 中工作,您必須重新登入。

程序

要產生並部署自訂的外部簽署伺服器憑證至 Lenovo XClarity Administrator,請完成下列步驟。

  1. XClarity Administrator 建立及下載憑證簽章要求 (CSR)。
    1. XClarity Administrator 功能表列上,按一下管理 > 安全性,以顯示安全性頁面
    2. 按一下「憑證管理」區下的伺服器憑證,以顯示「伺服器憑證」頁面。
    3. 按一下產生憑證簽章要求 (CSR)標籤。
    4. 填寫要求的各個欄位。

      • 國家或地區

      • 州/省(縣/市)

      • 鄉鎮/市區

      • 組織

      • 組織單位(非必填)

      • 一般名稱

      小心
      選取一般名稱,其符合 XClarity Administrator 用以連接受管理裝置的 IP 位址或主機名稱。無法選取正確值,可能導致不受信任的連線。
    5. 選擇性的: 自訂、新增和刪除產生 CSR 時在 X.509subjectAltName延伸中使用的主體替代名稱。僅當您在下一步中產生 CSR 後,才會驗證列於上表的所有主體替代名稱並將其儲存及新增至 CSR。

      依預設,XClarity Administrator 會根據 XClarity Administrator 客體作業系統的網路介面探索找到的 IP 位址和主機名稱,自動定義 CSR 的主體替代名稱。

      小心
      主體替代名稱必須包含管理伺服器的完整網域名稱 (FQDN) 或 IP 位址,而且主體名稱必須設定為管理伺服器的 FQDN。為確保產生的憑證完整,在開始 CSR 程序之前,請驗證這些必要欄位是否存在且正確。缺少憑證資料可能會導致在嘗試將 XClarity Administrator 實例連接到 Lenovo XClarity Orchestrator 時,連線不受信任。

      您必須指定對所選類型有效的名稱。

      • directoryName(例如 cn=lxca-example,ou=dcg,dc=company,dc=com

      • dNSName(例如 lxca-example.dcg.company.com

      • ipAddress(例如 192.0.2.0

      • registeredID(例如 1.2.3.4.55.6.5.99

      • rfc822Name(例如 example@company.com

      • uniformResourceIdentifier(例如 https://lxca-dev.dcg.company.com/example

      僅當您在下一步中產生 CSR 後,才會驗證列於上表的所有 SAN 並將其儲存及新增至 CSR。
    6. 按一下產生 CSR 檔案憑證簽章要求對話框內顯示伺服器憑證。
      重要

      • 驗證新產生的憑證是否在主體替代名稱中包含 FQDN 和 IP 位址。

      • 如果此 XClarity Administrator 實例由 XClarity Orchestrator 管理,請確保根據 CSR 產生的憑證已配置為同時用來做為伺服器憑證用戶端憑證

    7. 按一下儲存至檔案將伺服器憑證儲存至主伺服器。
  2. 將 CSR 提供給授信憑證管理中心 (CA)。CA 簽署 CSR,然後使用伺服器憑證回應。
  3. 將外部簽署的伺服器憑證上傳到 XClarity Administrator。憑證內容必須是包含 CA 的主要憑證、所有中繼憑證和伺服器憑證的組合。
    1. XClarity Administrator 功能表列上,按一下管理 > 安全性,以顯示「安全性」頁面。
    2. 按一下「憑證管理」區下的伺服器憑證
    3. 按一下上傳憑證標籤。
    4. 按一下上傳憑證,以顯示上傳憑證對話框。
    5. 指定 PEM、DER 或 PKCS7 格式的憑證組合檔案,或貼上 PEM 格式的憑證組合。
    6. 按一下上傳將伺服器憑證上傳,然後將憑證儲存在 XClarity Administrator 信任儲存庫。