跳至主要内容

使用安全憑證

Lenovo XClarity Administrator 使用 SSL 憑證建立 XClarity Administrator 及其受管理裝置(例如,System x 伺服器中的機箱和服務處理器)之間安全、信任的通訊,以及使用者與 XClarity Administrator 或與不同服務之間的通訊。依預設,XClarity Administrator、CMM 和基板管理控制器使用內部憑證管理中心自行簽署並發出的 XClarity Administrator 產生的憑證。

開始之前

本節適用於對 SSL 標準和 SSL 憑證有基本瞭解(包括它們是什麼及如何管理它們)的管理者。如需公開金鑰憑證的一般資訊,請參閱 Wikipedia 中的 X.509 網頁網際網路 X.509 公開金鑰基礎架構憑證 和憑證撤銷清單 (CRL) 設定檔 (RFC5280) 網頁

關於此作業

在每個 XClarity Administrator 實例唯一產生的預設自簽伺服器憑證可為許多環境提供足夠的安全。您可以選擇讓 XClarity Administrator 為您管理憑證,或者您可以採取更積極的角色,自訂或取代伺服器憑證。XClarity Administrator 會針對您的環境提供自訂憑證的選項。例如,您可以選擇:
  • 透過重新產生內部憑證管理中心和/或使用組織特有值的最終伺服器憑證來產生一對新金鑰。
  • 產生憑證簽章要求 (CSR),然後將之傳送至您選擇的憑證管理中心以簽署自訂憑證,再將該自訂憑證上傳至 XClarity Administrator 以用來做為其所有裝載服務的最終伺服器憑證。
  • 將伺服器憑證下載至本端系統,讓您可以將該憑證匯入 Web 瀏覽器的受信任憑證清單。

XClarity Administrator 提供多個接受傳入 SSL/TLS 連線的服務。當用戶端(例如受管理裝置或 Web 瀏覽器)與其中一個服務連線時,XClarity Administrator 會提供它的伺服器憑證,以供嘗試連線的用戶端識別。用戶端應該自行維護信任的憑證清單。如果 XClarity Administrator 的伺服器憑證不在用戶端的清單中,則用戶端應中斷來自 XClarity Administrator 的連線,以避免與不受信任的來源交換任何安全性敏感資訊。

在與受管理的裝置和外部服務通訊時,XClarity Administrator 會充當用戶端。當 XClarity Administrator 與裝置或外部服務連線時,裝置或外部服務會提供其伺服器憑證以供 XClarity Administrator 識別。XClarity Administrator 會維護其信任的憑證清單。如果受管理裝置或外部服務提供的受信任憑證不在清單內,XClarity Administrator 應中斷來自受管理裝置或外部服務的連線,以避免與不受信任的來源交換任何安全性敏感資訊。

XClarity Administrator 服務使用以下類別的憑證,與之連線的用戶端應信任這些憑證。

  • 伺服器憑證。在初始開機期間會產生唯一金鑰和自簽憑證。這些會用來做為預設的主要憑證管理中心,可在 XClarity Administrator 安全設定中的「憑證管理中心」頁面中管理。不需要重新產生此主要憑證,除非金鑰遭到破解,或是您的組織規定必須定期更換所有憑證(請參閱重新產生或還原 Lenovo XClarity Administrator 自簽伺服器憑證)。

    同樣,在初始設定期間會產生個別金鑰並建立由內部憑證管理中心簽署的伺服器憑證。將這個憑證當做預設的 XClarity Administrator 伺服器憑證。每次 XClarity Administrator 偵測到其網路位址(IP 或 DNS 位址)已變更時,會自動重新產生憑證,以確保憑證包含了伺服器的正確位址。可以根據需要自訂和產生憑證(請參閱重新產生或還原 Lenovo XClarity Administrator 自簽伺服器憑證)。

    您可以選擇使用外部簽署伺服器憑證而不是預設的自簽伺服器憑證;若要這麼做,您需要重新產生憑證簽章要求 (CSR),讓 CSR 由私人或商業憑證主要憑證管理中心簽署,然後將完整的憑證鏈匯入 XClarity Administrator(請參閱部署自訂的伺服器憑證至 Lenovo XClarity Administrator)。

    如果您選擇使用預設的自簽伺服器憑證,建議您在 Web 瀏覽器中匯入伺服器憑證做為受信任主要管理中心,以避免瀏覽器中的憑證錯誤訊息(請參閱將憑證管理中心的憑證匯入 Web 瀏覽器)。

  • OS 部署憑證。作業系統部署服務使用個別憑證,以確保作業系統安裝程式可以在作業系統安裝過程中安全連線到部署服務。如果金鑰已遭破解,您可以重新啟動管理伺服器重新產生金鑰。

XClarity Administrator 用戶端使用以下類別(信任儲存庫)的憑證。

  • 授信憑證

    此信任儲存庫可管理當 XClarity Administrator 做為用戶端時用於建立與本端資源的安全連線的憑證。本端資源的範例包括受管理裝置、轉遞事件時的本端軟體,以及外部 LDAP 伺服器。

  • 外部服務憑證。此信任儲存庫可管理當 XClarity Administrator 做為用戶端時用於建立與外部服務的安全連線的憑證。外部服務的範例包括用於擷取保固資訊或建立服務通行證的線上 Lenovo 支援服務、可接收轉遞事件的外部軟體(例如 Splunk),以及 Apple 和 Google 推送通知伺服器(如果為 iOS 或 Android 裝置啟用了 Lenovo XClarity Mobile 推送通知)。此信任儲存庫包含某些普遍受信任且世界知名憑證管理中心供應商(例如 Digicert 和 Globalsign)的主要憑證管理中心所簽發的預先配置受信任憑證。

    當您配置 XClarity Administrator 使用需要與另一個外部服務連線的功能時,請參閱文件以判斷是否需要手動新增憑證至此信任儲存庫。

    請注意,在為其他服務(例如 LDAP)建立連線時,不會信任這個信任儲存庫中的憑證,除非您將這些憑證新增到主要受信任憑證的信任儲存庫。從這個信任儲存庫移除憑證,以免這些服務作業成功。

XClarity Administrator 支援 RSA-3072/SHA-384、RSA-2048/SHA-256 和 ECDSA p256/SHA-256 憑證簽章。視您的配置而定,可能支援其他演算法,例如 SHA-1 較強演算法或 SHA hashes 演算法。考慮在 XClarity Administrator 所選的加密模式(請參閱在管理伺服器上配置加密法設定、為受管理伺服器選取的安全性設定(配置受管理伺服器的安全性設定,以及您的環境中其他軟體和裝置的功能。在「受信任憑證」頁面上以及 XClarity Administrator 憑證的簽署鏈結中,支援以部分橢圓曲線(包括 p256)而非所有橢圓曲線為基礎的 ECDSA 憑證,但目前支援供 XClarity Administrator 伺服器憑證使用。
XClarity Administrator 為嚴格模式下的配備 XCC2 的伺服器使用 RSA-3072/SHA-384 憑證簽章。
  • 安裝自訂的外部簽署伺服器憑證
    您可以選擇使用私密或商業憑證管理中心 (CA) 簽署的伺服器憑證。
  • 重新產生或還原 Lenovo XClarity Administrator 自簽伺服器憑證
    您可以產生新的憑證管理中心或伺服器憑證,以更換目前的自簽憑證;或是復原 Lenovo XClarity Administrator 產生的憑證(如果 XClarity Administrator 目前使用自訂的外部簽署伺服器憑證的話)。然後,在 XClarity Administrator 的鑑別、HTTPS 和 CIM 伺服器會使用新的自簽伺服器憑證。也會將憑證自動提供給所有受管理的裝置。
  • 解決不受信任的伺服器憑證
    用來與受管理的裝置建立安全連線的伺服器憑證可能變成不受信任。如果問題是由於裝置 CA 主要憑證或是裝置自行簽署憑證在 Lenovo XClarity Administrator 信任儲存庫中的下層版本,XClarity Administrator 則可以解決不受信任的伺服器憑證。
  • 下載伺服器憑證
    可以將目前 PEM 或 DER 格式的伺服器憑證副本下載至您的本端系統。然後,可以將憑證匯入您的 Web 瀏覽器或其他應用程式(例如Lenovo XClarity MobileLenovo XClarity Integrator)。
  • 將憑證管理中心的憑證匯入 Web 瀏覽器
    在存取 Lenovo XClarity Administrator 時,要避免來自 Web 瀏覽器的安全性警告訊息,可以將目前憑證管理中心 (CA) 的憑證副本以 PEM 或 DER 格式下載至本端系統,然後將該憑證匯入 Web 瀏覽器的授信憑證清單。
  • 新增及更換憑證撤銷清單
    憑證撤銷清單 是指已撤銷且不再受到信任的憑證清單。如果 CA 未正確發出憑證,或是憑證金鑰遭到破解、遺失或遭竊,則可能會撤銷憑證。