Zum Hauptinhalt springen

Mit Sicherheitszertifikaten arbeiten

Lenovo XClarity Orchestrator verwendet Zertifikate für die Einrichtung von sicheren und vertrauenswürdigen Kommunikationsverbindungen zwischen XClarity Orchestrator und den Ressourcenmanagern (z. B. Lenovo XClarity Administrator oder Schneider Electric EcoStruxure IT Expert) sowie für die Herstellung von Kommunikationsverbindungen mit XClarity Orchestrator durch Benutzer oder verschiedenen Services. Standardmäßig verwenden XClarity Orchestrator und Lenovo XClarity Administrator selbst signierte, von XClarity Orchestrator generierte Zertifikate, die von einer internen Zertifizierungsstelle ausgestellt wurden.

Vorbereitende Schritte

Dieser Abschnitt richtet sich an Administratoren mit einem grundlegenden Verständnis der SSL-Standards und SSL-Zertifikate, einschließlich ihrer Art und Verwaltung. Allgemeine Informationen zu Zertifikaten mit öffentlichen Schlüsseln finden Sie unter X.509-Webseite in Wikipedia und Webseite „Internet X.509 Public Key-Infrastrukturzertifikat und Zertifikatsperrliste (CRL) Profil (RFC5280)“.

Zu dieser Aufgabe

Das eindeutige Standardserverzertifikat, das in jeder Instanz von XClarity Orchestrator generiert wird, bietet eine ausreichende Sicherheit für vielen Umgebungen. Sie können die Zertifikate wahlweise von XClarity Orchestrator verwalten lassen oder eine aktivere Rolle übernehmen und die Serverzertifikate selbst anpassen und ersetzen. XClarity Orchestrator bietet verschiedene Optionen zum Anpassen von Zertifikaten an Ihre Umgebung. Beispielsweise können Sie Folgendes auswählen:
  • Generieren Sie ein neues Schlüsselpaar, indem Sie die interne Zertifizierungsstelle und/oder das Endserverzertifikat erneut generieren, das spezifische Werte für Ihre Organisation verwendet.
  • Generieren Sie eine Zertifikatssignieranforderung (CSR), die an eine Zertifizierungsstelle Ihrer Wahl gesendet werden kann. Hier wird ein benutzerdefiniertes Zertifikat signiert, das zu XClarity Orchestrator hochgeladen und als Endserverzertifikat für alle gehosteten Services verwendet werden kann.
  • Laden Sie das Serverzertifikat in Ihr lokales System herunter und importieren Sie es in die Liste mit vertrauenswürdigen Zertifikaten im Webbrowser.

XClarity Orchestrator bietet verschiedene Services, die eingehende SSL/TLS-Verbindungen akzeptieren. Wenn sich ein Client, z. B. ein Webbrowser, mit einem dieser Services verbindet, stellt XClarity Orchestrator sein Serverzertifikat bereit, das vom Client identifiziert wird, der eine Verbindung herstellen will. Der Client muss über eine Liste mit Zertifikaten verfügen, denen er vertraut. Wenn das Serverzertifikat von XClarity Orchestrator nicht in der Liste des Client enthalten ist, trennt der Client die Verbindung mit XClarity Orchestrator, damit keine vertraulichen Informationen mit einer nicht vertrauenswürdigen Quelle ausgetauscht werden.

XClarity Orchestrator fungiert bei der Kommunikation mit Ressourcenmanagern und externen Services als Client. In diesem Fall stellen der Ressourcenmanager oder der externe Service ihr jeweiliges Serverzertifikat für ihre Authentifizierung bei XClarity Orchestrator bereit. XClarity Orchestrator hält eine Liste von vertrauenswürdigen Zertifikaten vor. Wenn das vertrauenswürdige Zertifikat, das vom Ressourcenmanager oder externen Service bereitgestellt wird, nicht in der Liste vorhanden ist, trennt XClarity Orchestrator die Verbindung von der verwalteten Einheit, damit keine vertraulichen Informationen mit einer nicht vertrauenswürdigen Quelle ausgetauscht werden.

Die folgende Zertifikatskategorie wird von XClarity Orchestrator Services verwendet und sollte von allen Clients, die eine Verbindung herstellen, als vertrauenswürdig gekennzeichnet werden.
  • Serverzertifikat. Während des ersten Boots werden ein eindeutiger Schlüssel und ein selbst signiertes Zertifikat generiert. Diese werden als die Standard-Stammzertifizierungsstelle verwendet, die auf der Seite „Zertifizierungsstelle“ in den Sicherheitseinstellungen von XClarity Orchestrator verwaltet wird. Es ist nicht notwendig, das Stammzertifikat neu zu generieren, sofern kein Schlüssel kompromittiert wurde oder eine Unternehmensrichtlinie besteht, nach der alle Zertifikate regelmäßig ersetzt werden müssen (siehe Intern signiertes XClarity Orchestrator-Serverzertifikat neu generieren).

    Bei der Erstkonfiguration wird auch ein separater Schlüssel generiert und es wird ein Serverzertifikat erstellt, das durch die interne Zertifizierungsstelle signiert wird. Dieses Zertifikat dient als standardmäßiges XClarity Orchestrator-Serverzertifikat. Es wird automatisch jedes Mal neu generiert, wenn XClarity Orchestrator ermittelt, dass seine Netzwerkadressen (IP‑ oder DNS-Adressen) sich geändert haben. So wird sichergestellt, dass das Zertifikat die korrekten Adressen für den Server enthält. Das Zertifikat kann nach Bedarf angepasst und generiert werden (siehe Intern signiertes XClarity Orchestrator-Serverzertifikat neu generieren).

    Sie können festlegen, dass ein extern signiertes Serverzertifikat anstelle des standardmäßig selbst signierten Serverzertifikats verwendet wird, indem Sie eine Zertifikatssignieranforderung (CSR) generieren, die CSR von einer privaten oder kommerziellen Stammzertifizierungsstelle signieren lassen und dann die vollständige Zertifikatskette in XClarity Orchestrator importieren (siehe Ein vertrauenswürdiges, extern signiertes XClarity Orchestrator-Serverzertifikat installieren).

    Wenn Sie das standardmäßig selbst signierte Serverzertifikat verwenden möchten, wird empfohlen, das Serverzertifikat in Ihren Webbrowser als vertrauenswürdige Stammzertifizierungsstelle zu importieren, um Fehlernachrichten im Browser zu vermeiden (siehe Das Serverzertifikat in einen Webbrowser importieren).

Die folgende Kategorie (Truststores) von Zertifikaten wird von XClarity Orchestrator Clients verwendet.
  • Vertrauenswürdige Zertifikate

    Dieser Truststore verwaltet Zertifikate, die zum Herstellen einer sicheren Verbindung zu lokalen Ressourcen verwendet werden, wenn XClarity Orchestrator als Client fungiert. Beispiele für lokale Ressourcen sind verwaltete Ressourcenmanager, lokale Software bei der Ereignisweiterleitung usw.

  • Zertifikate für externe Services. Dieser Truststore verwaltet Zertifikate, die zum Herstellen einer sicheren Verbindung mit externen Services verwendet werden, wenn XClarity Orchestrator als Client fungiert. Beispiele für externe Services sind Online-Supportdienste von Lenovo, die zum Abrufen von Garantieinformationen oder zum Erstellen von Servicetickets verwendet werden, sowie externe Software (wie Splunk), an die Ereignisse weitergeleitet werden können. Er enthält vorkonfigurierte, vertrauenswürdige Zertifikate von Stammzertifizierungsstellen von bestimmten, allgemein vertrauenswürdigen und weltweit bekannten Zertifizierungsstellen (z. B. Digicert und Globalsign).

    Wenn Sie XClarity Orchestrator für die Verwendung einer Funktion konfigurieren, die eine Verbindung zu einem anderen externen Service erfordert, lesen Sie die Dokumentation, um herauszufinden, ob Sie manuell ein Zertifikat zu diesem Truststore hinzufügen müssen.

    Beachten Sie, dass Zertifikate in diesem Truststore als nicht vertrauenswürdig eingestuft werden, wenn Verbindungen für andere Services (z. B. LDAP) hergestellt werden, es sei denn, Sie fügen sie auch dem grundlegenden Truststore mit vertrauenswürdigen Zertifikaten hinzu. Das Entfernen von Zertifikaten aus diesem Truststore verhindert die erfolgreiche Ausführung der entsprechenden Dienste.

  • Vertrauenswürdige Zertifikate für externe Dienste hinzufügen
    Diese Zertifikate werden verwendet, um Vertrauensstellungen zu externen Services zu etablieren. Beispielsweise werden Zertifikate in diesem Truststore verwendet, wenn Garantieinformationen von Lenovo abgerufen, Tickets erstellt, Ereignisse an eine externe Anwendung (z. B. Splunk) weitergeleitet und externe LDAP-Server verwendet werden.
  • Vertrauenswürdige Zertifikate für interne Dienste hinzufügen
    Diese Zertifikate werden verwendet, um Vertrauensstellungen mit lokalen Ressourcen herzustellen, wenn Lenovo XClarity Orchestrator für diese Ressourcen als Client fungiert, z. B. Ressourcenmanager, Ereignisweiterleitungen an lokale Software und der eingebettete LDAP-Server. Darüber hinaus sind in diesem Truststore das interne CA-Zertifikat sowie das CA-Zertifikat eines angepassten, extern signierten Serverzertifikats (sofern eines installiert ist) gespeichert, um die interne XClarity Orchestrator-Kommunikation zu unterstützen.
  • Ein vertrauenswürdiges, extern signiertes XClarity Orchestrator-Serverzertifikat installieren
    Sie können ein von einer privaten oder einer kommerziellen Zertifizierungsstelle (Certificate Authority, CA) signiertes, vertrauenswürdiges Serverzertifikat verwenden. Wenn Sie ein extern signiertes Serverzertifikat verwenden möchten, generieren Sie eine Zertifikatssignieranforderung (CSR). Importieren Sie das daraus resultierende Serverzertifikat, um das vorhandene Serverzertifikat zu ersetzen.
  • Intern signiertes XClarity Orchestrator-Serverzertifikat neu generieren
    Sie können ein neues Serverzertifikat generieren, um das aktuelle intern signierte Lenovo XClarity Orchestrator-Serverzertifikat zu ersetzen oder ein von XClarity Orchestrator generiertes Zertifikat wiederherzustellen, wenn XClarity Orchestrator aktuell ein angepasstes extern signiertes Serverzertifikat verwendet. Das neue intern signierte Serverzertifikat wird von XClarity Orchestrator für den HTTPS-Zugriff verwendet.
  • Das Serverzertifikat in einen Webbrowser importieren
    Sie können eine Kopie des aktuellen Serverzertifikats im PEM-Format auf dem lokalen System speichern. Anschließend können Sie das Zertifikat in die Liste vertrauenswürdiger Zertifikate des Webbrowsers oder in andere Anwendungen (z. B. Lenovo XClarity Mobile oder Lenovo XClarity Integrator) importieren, um beim Zugriff auf Lenovo XClarity Orchestrator Sicherheitswarnungen des Webbrowsers zu vermeiden.