Ein vertrauenswürdiges, extern signiertes XClarity Orchestrator-Serverzertifikat installieren

Sie können ein von einer privaten oder einer kommerziellen Zertifizierungsstelle (Certificate Authority, CA) signiertes, vertrauenswürdiges Serverzertifikat verwenden. Wenn Sie ein extern signiertes Serverzertifikat verwenden möchten, generieren Sie eine Zertifikatssignieranforderung (CSR). Importieren Sie das daraus resultierende Serverzertifikat, um das vorhandene Serverzertifikat zu ersetzen.

Zu dieser Aufgabe

Es hat sich bewährt, immer v3-signierte Zertifikate zu verwenden.

Das extern signierte Serverzertifikat muss von der Zertifikatssignieranforderung erstellt werden, die als letzte mithilfe der Schaltfläche CSR-Datei generieren generiert wurde.

Der Inhalt des extern signierten Serverzertifikats muss ein Zertifikatspaket sein, das die gesamte Signierungskette der Zertifizierungsstelle enthält, einschließlich des Stammzertifikats der Zertifizierungsstelle, eventueller Zwischenzertifikate und des Serverzertifikats.

Wenn das neue Serverzertifikat nicht von einem vertrauenswürdigen Drittanbieter signiert wurde, wird das nächste Mal, wenn Sie eine Verbindung mit XClarity Orchestrator herstellen, im Webbrowser eine Sicherheitsnachricht angezeigt. In einem Dialogfeld werden Sie aufgefordert, das neue Zertifikat im Browser zu akzeptieren. Sie können das Serverzertifikat in die Liste vertrauenswürdiger Zertifikate Ihres Webbrowsers importieren, um die Sicherheitsnachrichten zu vermeiden (siehe Das Serverzertifikat in einen Webbrowser importieren).

XClarity Orchestrator beginnt, das neue Serverzertifikat zu verwenden, ohne die aktuelle Sitzung zu beenden. Neue Sitzungen werden mit dem neuen Zertifikat gestartet. Um das neue verwendete Zertifikat zu verwenden, starten Sie den Webbrowser neu.

Wichtig

Wenn das Serverzertifikat geändert wird, müssen alle bestehenden Benutzersitzungen das neue Zertifikat durch Klicken auf Strg+F5 akzeptieren. Dadurch wird der Webbrowser aktualisiert und die Verbindung zu XClarity Orchestrator wird wiederhergestellt.

Vorgehensweise

Gehen Sie wie folgt vor, um ein extern signiertes Serverzertifikat zu generieren und zu installieren.

Erstellen Sie eine Zertifikatssignieranforderung und speichern Sie die Datei auf Ihrem lokalen System.
1. Klicken Sie in der Menüleiste von XClarity Orchestrator auf Verwaltung () > Sicherheit und dann im linken Navigationsbereich auf Serverzertifikat, um die Übersicht Zertifikatssignieranforderung (CSR) generieren anzuzeigen.
2. Geben Sie in der Übersicht „Zertifikatssignieranforderung (CSR) generieren“ Daten in die Felder für die Anforderung ein.
  - Zweistelliger ISO 3166-Code für das ursprüngliche Land oder die ursprüngliche Region, der der Zertifizierungsorganisation zugeordnet ist (z. B. US für die Vereinigten Staaten).
  - Vollständiger Name des Bundesstaats/-lands, das dem Zertifikat zugeordnet werden soll (z. B. Kalifornien oder New Brunswick).
  - Vollständiger Name der Stadt, die dem Zertifikat zugeordnet werden soll (z. B. San Jose). Die Länge des Werts darf 50 Zeichen nicht überschreiten.
  - Unternehmen, dem das Zertifikat gehören soll. In der Regel handelt es sich hierbei um den eingetragenen Namen eines Unternehmens. Dies sollte alle Suffixe umfassen wie etwa Ltd., Inc. oder GmbH (z. B. ACME International Ltd.). Die Länge des Werts darf 60 Zeichen nicht überschreiten.
  - (Optional) Organisationseinheit, der das Zertifikat gehören soll (z. B. Sparte ABC). Die Länge des Werts darf 60 Zeichen nicht überschreiten.
  - Allgemeiner Name des Zertifikatsinhabers. Dies muss der Hostname des Servers sein, der das Zertifikat verwendet. Die Länge des Werts darf 63 Zeichen nicht überschreiten.
  - (Optional) Alternative Namen, die beim Generieren der Zertifikatssignieranforderung zur Erweiterung X.509 „subjectAltName“ hinzugefügt werden.
    Standardmäßig definiert XClarity Orchestrator automatisch alternative Namen für die Zertifikatssignieranforderung auf Basis der IP-Adresse und des Hostnamens, die von den Netzwerkschnittstellen des Gastbetriebssystems von XClarity Orchestrator erkannt werden. Sie können die Werte alternativer Namen anpassen, löschen oder ergänzen. Die alternativen Namen müssen jedoch den vollständig qualifizierten Domänennamen (FQDN) oder die IP-Adresse des Servers haben und der Name muss auf den FQDN festgelegt sein.
    Der von Ihnen angegebene Name muss für den ausgewählten Typ gültig sein.
    DNS (FQDN verwenden, z. B. hostname.labs.company.com)
    IP-Adresse (z. B. 192.0.2.0)
    E-Mail (z. B. example@company.com)
    Anmerkung
    Alle alternativen Namen, die in der Tabelle aufgelistet sind, werden überprüft, gespeichert und zur Zertifikatssignieranforderung hinzugefügt, nachdem Sie diese im nächsten Schritt generiert haben.
Übermitteln Sie die Zertifikatssignieranforderung an eine vertrauenswürdige Zertifizierungsstelle (Certificate Authority, CA). Die Zertifizierungsstelle signiert die Zertifikatssignieranforderung und gibt ein Serverzertifikat zurück.
Importieren Sie das extern signierte Serverzertifikat und das Zertifizierungsstellenzertifikat in XClarity Orchestrator und ersetzen Sie das aktuelle Serverzertifikat.
1. Klicken Sie in der Übersicht „Zertifikatssignieranforderung (CSR) generieren“ auf Zertifikat importieren, um das Dialogfeld Zertifikat importieren anzuzeigen.
2. Kopieren Sie das Serverzertifikat und das Zertifizierungsstellenzertifikat im PEM-Format und fügen Sie sie ein. Sie müssen die gesamte Zertifikatskette angeben, beginnend mit dem Serverzertifikat und endend mit dem Zertifizierungsstellenzertifikat.
3. Klicken Sie auf Importieren, um das Serverzertifikat im XClarity Orchestrator-Truststore zu speichern.
Akzeptieren Sie das neue Zertifikat, indem Sie Strg + F5 drücken, um den Browser zu aktualisieren, und dann die Verbindung zur Webschnittstelle wiederherstellen. Dies muss von allen bestehenden Benutzersitzungen durchgeführt werden.

Feedback geben