Mit Sicherheitszertifikaten arbeiten
Lenovo XClarity Orchestrator verwendet Zertifikate für die Einrichtung von sicheren und vertrauenswürdigen Kommunikationsverbindungen zwischen XClarity Orchestrator und den Ressourcenmanagern (z. B. Lenovo XClarity Administrator oder Schneider Electric EcoStruxure IT Expert) sowie für die Herstellung von Kommunikationsverbindungen mit XClarity Orchestrator durch Benutzer oder verschiedenen Services. Standardmäßig verwenden XClarity Orchestrator und Lenovo XClarity Administrator selbst signierte, von XClarity Orchestrator generierte Zertifikate, die von einer internen Zertifizierungsstelle ausgestellt wurden.
Vorbereitende Schritte
Dieser Abschnitt richtet sich an Administratoren mit einem grundlegenden Verständnis der SSL-Standards und SSL-Zertifikate, einschließlich ihrer Art und Verwaltung. Allgemeine Informationen zu Zertifikaten mit öffentlichen Schlüsseln finden Sie unter X.509-Webseite in Wikipedia und Webseite „Internet X.509 Public Key-Infrastrukturzertifikat und Zertifikatsperrliste (CRL) Profil (RFC5280)“.
Zu dieser Aufgabe
- Generieren Sie ein neues Schlüsselpaar, indem Sie die interne Zertifizierungsstelle und/oder das Endserverzertifikat erneut generieren, das spezifische Werte für Ihre Organisation verwendet.
- Generieren Sie eine Zertifikatssignieranforderung (CSR), die an eine Zertifizierungsstelle Ihrer Wahl gesendet werden kann. Hier wird ein benutzerdefiniertes Zertifikat signiert, das zu XClarity Orchestrator hochgeladen und als Endserverzertifikat für alle gehosteten Services verwendet werden kann.
- Laden Sie das Serverzertifikat in Ihr lokales System herunter und importieren Sie es in die Liste mit vertrauenswürdigen Zertifikaten im Webbrowser.
XClarity Orchestrator bietet verschiedene Services, die eingehende SSL/TLS-Verbindungen akzeptieren. Wenn sich ein Client, z. B. ein Webbrowser, mit einem dieser Services verbindet, stellt XClarity Orchestrator sein Serverzertifikat bereit, das vom Client identifiziert wird, der eine Verbindung herstellen will. Der Client muss über eine Liste mit Zertifikaten verfügen, denen er vertraut. Wenn das Serverzertifikat von XClarity Orchestrator nicht in der Liste des Client enthalten ist, trennt der Client die Verbindung mit XClarity Orchestrator, damit keine vertraulichen Informationen mit einer nicht vertrauenswürdigen Quelle ausgetauscht werden.
XClarity Orchestrator fungiert bei der Kommunikation mit Ressourcenmanagern und externen Services als Client. In diesem Fall stellen der Ressourcenmanager oder der externe Service ihr jeweiliges Serverzertifikat für ihre Authentifizierung bei XClarity Orchestrator bereit. XClarity Orchestrator hält eine Liste von vertrauenswürdigen Zertifikaten vor. Wenn das vertrauenswürdige Zertifikat, das vom Ressourcenmanager oder externen Service bereitgestellt wird, nicht in der Liste vorhanden ist, trennt XClarity Orchestrator die Verbindung von der verwalteten Einheit, damit keine vertraulichen Informationen mit einer nicht vertrauenswürdigen Quelle ausgetauscht werden.
- Serverzertifikat. Während des ersten Boots werden ein eindeutiger Schlüssel und ein selbst signiertes Zertifikat generiert. Diese werden als die Standard-Stammzertifizierungsstelle verwendet, die auf der Seite „Zertifizierungsstelle“ in den Sicherheitseinstellungen von XClarity Orchestrator verwaltet wird. Es ist nicht notwendig, das Stammzertifikat neu zu generieren, sofern kein Schlüssel kompromittiert wurde oder eine Unternehmensrichtlinie besteht, nach der alle Zertifikate regelmäßig ersetzt werden müssen (siehe Intern signiertes XClarity Orchestrator-Serverzertifikat neu generieren).
Bei der Erstkonfiguration wird auch ein separater Schlüssel generiert und es wird ein Serverzertifikat erstellt, das durch die interne Zertifizierungsstelle signiert wird. Dieses Zertifikat dient als standardmäßiges XClarity Orchestrator-Serverzertifikat. Es wird automatisch jedes Mal neu generiert, wenn XClarity Orchestrator ermittelt, dass seine Netzwerkadressen (IP‑ oder DNS-Adressen) sich geändert haben. So wird sichergestellt, dass das Zertifikat die korrekten Adressen für den Server enthält. Das Zertifikat kann nach Bedarf angepasst und generiert werden (siehe Intern signiertes XClarity Orchestrator-Serverzertifikat neu generieren).
Sie können festlegen, dass ein extern signiertes Serverzertifikat anstelle des standardmäßig selbst signierten Serverzertifikats verwendet wird, indem Sie eine Zertifikatssignieranforderung (CSR) generieren, die CSR von einer privaten oder kommerziellen Stammzertifizierungsstelle signieren lassen und dann die vollständige Zertifikatskette in XClarity Orchestrator importieren (siehe Ein vertrauenswürdiges, extern signiertes XClarity Orchestrator-Serverzertifikat installieren).
Wenn Sie das standardmäßig selbst signierte Serverzertifikat verwenden möchten, wird empfohlen, das Serverzertifikat in Ihren Webbrowser als vertrauenswürdige Stammzertifizierungsstelle zu importieren, um Fehlernachrichten im Browser zu vermeiden (siehe Das Serverzertifikat in einen Webbrowser importieren).
- Vertrauenswürdige Zertifikate
Dieser Truststore verwaltet Zertifikate, die zum Herstellen einer sicheren Verbindung zu lokalen Ressourcen verwendet werden, wenn XClarity Orchestrator als Client fungiert. Beispiele für lokale Ressourcen sind verwaltete Ressourcenmanager, lokale Software bei der Ereignisweiterleitung usw.
- Zertifikate für externe Services. Dieser Truststore verwaltet Zertifikate, die zum Herstellen einer sicheren Verbindung mit externen Services verwendet werden, wenn XClarity Orchestrator als Client fungiert. Beispiele für externe Services sind Online-Supportdienste von Lenovo, die zum Abrufen von Garantieinformationen oder zum Erstellen von Servicetickets verwendet werden, sowie externe Software (wie Splunk), an die Ereignisse weitergeleitet werden können. Er enthält vorkonfigurierte, vertrauenswürdige Zertifikate von Stammzertifizierungsstellen von bestimmten, allgemein vertrauenswürdigen und weltweit bekannten Zertifizierungsstellen (z. B. Digicert und Globalsign).
Wenn Sie XClarity Orchestrator für die Verwendung einer Funktion konfigurieren, die eine Verbindung zu einem anderen externen Service erfordert, lesen Sie die Dokumentation, um herauszufinden, ob Sie manuell ein Zertifikat zu diesem Truststore hinzufügen müssen.
Beachten Sie, dass Zertifikate in diesem Truststore als nicht vertrauenswürdig eingestuft werden, wenn Verbindungen für andere Services (z. B. LDAP) hergestellt werden, es sei denn, Sie fügen sie auch dem grundlegenden Truststore mit vertrauenswürdigen Zertifikaten hinzu. Das Entfernen von Zertifikaten aus diesem Truststore verhindert die erfolgreiche Ausführung der entsprechenden Dienste.