Sicherheitszertifikate für Lenovo XClarity Management Hub für Edge-Client-Einheiten verwalten
Lenovo XClarity Management Hub verwendet SSL-Zertifikate für die Einrichtung von sicheren und vertrauenswürdigen Kommunikationsverbindungen zwischen Lenovo XClarity Management Hub und den verwalteten Einheiten sowie für die Herstellung von Kommunikationsverbindungen mit Lenovo XClarity Management Hub durch Benutzer oder verschiedenen Services. Standardmäßig verwenden Lenovo XClarity Management Hub und XClarity Orchestrator selbst signierte, von XClarity Orchestrator generierte Zertifikate, die von einer internen Zertifizierungsstelle ausgestellt wurden.
Vorbereitende Schritte
Dieser Abschnitt richtet sich an Administratoren mit einem grundlegenden Verständnis der SSL-Standards und SSL-Zertifikate, einschließlich ihrer Art und Verwaltung. Allgemeine Informationen zu Zertifikaten mit öffentlichen Schlüsseln finden Sie unter X.509-Webseite in Wikipedia und Webseite „Internet X.509 Public Key-Infrastrukturzertifikat und Zertifikatsperrliste (CRL) Profil (RFC5280)“.
Zu dieser Aufgabe
- Generieren Sie ein neues Schlüsselpaar, indem Sie die interne Zertifizierungsstelle und/oder das Endserverzertifikat erneut generieren, das spezifische Werte für Ihre Organisation verwendet.
- Generieren Sie eine Zertifikatssignieranforderung (CSR), die an eine Zertifizierungsstelle Ihrer Wahl gesendet werden kann. Hier wird ein benutzerdefiniertes Zertifikat signiert, das zu Lenovo XClarity Management Hub hochgeladen und als Endserverzertifikat für alle gehosteten Services verwendet werden kann.
- Laden Sie das Serverzertifikat in Ihr lokales System herunter und importieren Sie es in die Liste mit vertrauenswürdigen Zertifikaten im Webbrowser.
Lenovo XClarity Management Hub bietet verschiedene Services, die eingehende SSL/TLS-Verbindungen akzeptieren. Wenn sich ein Client, z. B. ein Webbrowser, mit einem dieser Services verbindet, stellt Lenovo XClarity Management Hub sein Serverzertifikat bereit, das vom Client identifiziert wird, der eine Verbindung herstellen will. Der Client muss über eine Liste mit Zertifikaten verfügen, denen er vertraut. Wenn das Serverzertifikat von Lenovo XClarity Management Hub nicht in der Liste des Client enthalten ist, trennt der Client die Verbindung mit Lenovo XClarity Management Hub, damit keine vertraulichen Informationen mit einer nicht vertrauenswürdigen Quelle ausgetauscht werden.
Lenovo XClarity Management Hub fungiert bei der Kommunikation mit verwalteten Einheiten und externen Services als Client. In diesem Fall stellen die verwaltete Einheit oder der externe Service ihr jeweiliges Serverzertifikat für ihre Authentifizierung bei Lenovo XClarity Management Hub bereit. Lenovo XClarity Management Hub hält eine Liste von vertrauenswürdigen Zertifikaten vor. Wenn das vertrauenswürdige Zertifikat, das von der verwalteten Einheit oder dem externen Service bereitgestellt wird, nicht in der Liste vorhanden ist, trennt Lenovo XClarity Management Hub die entsprechende Verbindung, damit keine vertraulichen Informationen mit einer nicht vertrauenswürdigen Quelle ausgetauscht werden.
- Serverzertifikat. Während des ersten Boots werden ein eindeutiger Schlüssel und ein selbst signiertes Zertifikat generiert. Diese werden als die Standard-Stammzertifizierungsstelle verwendet, die auf der Seite „Zertifizierungsstelle“ in den Sicherheitseinstellungen von Lenovo XClarity Management Hub verwaltet wird. Es ist nicht notwendig, das Stammzertifikat neu zu generieren, sofern kein Schlüssel kompromittiert wurde oder eine Unternehmensrichtlinie besteht, nach der alle Zertifikate regelmäßig ersetzt werden müssen (siehe Selbst signiertes Serverzertifikat für XClarity Management Hub für Edge-Client-Einheiten neu generieren).
Bei der Erstkonfiguration wird auch ein separater Schlüssel generiert und es wird ein Serverzertifikat erstellt, das durch die interne Zertifizierungsstelle signiert wird. Dieses Zertifikat dient als standardmäßiges Lenovo XClarity Management Hub-Serverzertifikat. Es wird automatisch jedes Mal neu generiert, wenn Lenovo XClarity Management Hub ermittelt, dass seine Netzwerkadressen (IP‑ oder DNS-Adressen) sich geändert haben. So wird sichergestellt, dass das Zertifikat die korrekten Adressen für den Server enthält. Das Zertifikat kann nach Bedarf angepasst und generiert werden (siehe Selbst signiertes Serverzertifikat für XClarity Management Hub für Edge-Client-Einheiten neu generieren).
Sie können festlegen, dass ein extern signiertes Serverzertifikat anstelle des standardmäßig selbst signierten Serverzertifikats verwendet wird, indem Sie eine Zertifikatssignieranforderung (CSR) generieren, die CSR von einer privaten oder kommerziellen Stammzertifizierungsstelle signieren lassen und dann die vollständige Zertifikatskette in Lenovo XClarity Management Hub importieren (siehe Vertrauenswürdiges, extern signiertes Serverzertifikat für XClarity Management Hub für Edge-Client-Einheiten installieren).
Wenn Sie das standardmäßig selbst signierte Serverzertifikat verwenden möchten, wird empfohlen, das Serverzertifikat in Ihren Webbrowser als vertrauenswürdige Stammzertifizierungsstelle zu importieren, um Fehlernachrichten im Browser zu vermeiden (siehe Serverzertifikat in einen Webbrowser für Lenovo XClarity Management Hub für Edge-Client-Einheiten importieren).
- Vom Betriebssystem implementiertes Zertifikat. Der Betriebssystem-Implementierungsservice verwendet ein separates Zertifikat, um zu gewährleisten, dass der Betriebssystem-Installer während des Implementierungsprozesses eine sichere Verbindung mit dem Implementierungsservice herstellen kann. Wenn der Schlüssel kompromittiert wurde, können Sie ihn neu generieren, indem Sie Lenovo XClarity Management Hub neu starten.