部署自訂的伺服器憑證至受管理的裝置
您可以使用這些裝置的 CMM 和管理控制器,上傳和安裝外部簽署的憑證組合,以部署自訂的伺服器憑證至受管理的裝置。
開始之前
確定所有受管理的裝置已經安裝最新韌體(請參閱更新受管理裝置上的韌體)。
為自訂憑證產生憑證簽章要求 (CSR) 時,請確定選取一般名稱,其符合 IP 位址或用以識別裝置的主機名稱。無法選取正確值,可能導致不受信任的連線。
確定您取得包含整個簽署鏈結的憑證組合,從終端伺服器憑證到授信 CA 的主要(基本)憑證,可用來驗證完整的授信憑證鏈結。
請勿變更 Lenovo XClarity Administrator 的伺服器憑證,當受管理的裝置離線時。
您必須先修復連線,再修改 Lenovo XClarity Administrator,否則可能需要執行其他步驟以修復連線功能問題(請參閱解決不受信任的伺服器憑證)。
關於此作業
本節包含確保 Lenovo XClarity Administrator 和受管理裝置之間持續成功通訊的建議動作。關於如何產生 CSR 和匯入簽署憑證的詳細指示,請參閱裝置文件。
如果 Lenovo XClarity Administrator 正在管理一個或多個機箱、機架式伺服器和直立式伺服器,以及預設的 Lenovo XClarity Administrator 內部簽署的憑證目前安裝在 Lenovo XClarity Administrator 和受管理的裝置,而您可以部署自訂的伺服器憑證。
如果外部簽署的伺服器憑證安裝在裝置上,然後您藉由 Lenovo XClarity Administrator 嘗試管理該裝置,則不需要執行其他步驟。要將自訂的伺服器憑證部署至 Lenovo XClarity Administrator 管理的受管理裝置,您必須執行下列其中一項步驟,以確保管理伺服器和受管理裝置之間持續的連線功能。
程序
完成下列其中一個選項,將自訂的外部簽署伺服器憑證部署至受管理的機箱或伺服器。
如果 Lenovo XClarity Administrator 使用和受管理的裝置相同憑證管理中心簽署的憑證,請先在部署自訂的伺服器憑證至 Lenovo XClarity Administrator執行步驟,然後在受管理的裝置安裝憑證。從相同的 CA 安裝 Lenovo XClarity Administrator 憑證鏈結,首先確定憑證鏈結在 Lenovo XClarity Administrator 信任儲存庫,而且 Lenovo XClarity Administrator 在安裝外部簽署憑證後能夠信任裝置。
新增 CA 簽署鏈結的外部簽署憑證至 Lenovo XClarity Administrator 的信任儲存庫。
務必逐一將 CA 主要憑證和所有中繼憑證新增至 Lenovo XClarity Administrator 的信任儲存庫。順序不重要。每個憑證務必安裝一次,所以如果所有裝置使用相同的 CA 和中繼憑證,則 CA 和每個中繼憑證必須安裝在 Lenovo XClarity Administrator 的信任儲存庫一次。如果使用多個 CA 或中繼 CA,請確定依下列步驟匯入每個唯一的 CA 主要憑證或中繼憑證,其使用在受管理裝置的簽署鏈結中。
註在步驟中,請勿新增結尾、非 CA 的伺服器憑證。請為組合中的每個憑證執行下列步驟。
在 Lenovo XClarity Administrator 功能表列上,按一下,以顯示「安全性」頁面。
按一下左側導覽「憑證管理」下方的授信憑證。
按一下建立圖示(
),以顯示新增憑證對話框。指定 PEM 或 DER 格式的憑證檔案,或貼上 PEM 格式的憑證。
按一下建立,以建立憑證。
安裝 CA 簽署鏈結後,Lenovo XClarity Administrator 信任與 CMM 和管理控制器的 CIM 伺服器連線,而 CMM 和管理控制器已安裝外部簽署伺服器憑證。
將外部簽署憑證匯入受管理的裝置。
註如果必要的憑證不在Lenovo XClarity Administrator 信任儲存庫,則 Lenovo XClarity Administrator 和受管理裝置之間會失去連線功能。在解決不受信任的伺服器憑證執行步驟,以修復連線。 重要這個選項牽涉到暫時失去連線功能,所以建議使用先前的其中一個選項。