Zum Hauptinhalt springen

Sicherheitszertifikate für Lenovo XClarity Verwaltungshub für Edge-Client-Einheiten verwalten

Lenovo XClarity Verwaltungshub verwendet SSL-Zertifikate für die Einrichtung von sicheren und vertrauenswürdigen Kommunikationsverbindungen zwischen Lenovo XClarity Verwaltungshub und den verwalteten Einheiten sowie für die Herstellung von Kommunikationsverbindungen mit Lenovo XClarity Verwaltungshub durch Benutzer oder verschiedenen Services. Standardmäßig verwenden Lenovo XClarity Verwaltungshub und XClarity Orchestrator selbst signierte, von XClarity Orchestrator generierte Zertifikate, die von einer internen Zertifizierungsstelle ausgestellt wurden.

Vorbereitende Schritte

Dieser Abschnitt richtet sich an Administratoren mit einem grundlegenden Verständnis der SSL-Standards und SSL-Zertifikate, einschließlich ihrer Art und Verwaltung. Allgemeine Informationen zu Zertifikaten mit öffentlichen Schlüsseln finden Sie unter X.509-Webseite in Wikipedia und Webseite „Internet X.509 Public Key-Infrastrukturzertifikat und Zertifikatsperrliste (CRL) Profil (RFC5280)“.

Zu dieser Aufgabe

Das eindeutige Standardserverzertifikat, das in jeder Instanz von Lenovo XClarity Verwaltungshub generiert wird, bietet eine ausreichende Sicherheit für viele Umgebungen. Sie können die Zertifikate wahlweise von Lenovo XClarity Verwaltungshub verwalten lassen oder eine aktivere Rolle übernehmen und die Serverzertifikate selbst anpassen und ersetzen. Lenovo XClarity Verwaltungshub bietet verschiedene Optionen zum Anpassen von Zertifikaten an Ihre Umgebung. Beispielsweise können Sie Folgendes auswählen:
  • Generieren Sie ein neues Schlüsselpaar, indem Sie die interne Zertifizierungsstelle und/oder das Endserverzertifikat erneut generieren, das spezifische Werte für Ihre Organisation verwendet.
  • Generieren Sie eine Zertifikatssignieranforderung (CSR), die an eine Zertifizierungsstelle Ihrer Wahl gesendet werden kann. Hier wird ein benutzerdefiniertes Zertifikat signiert, das zu Lenovo XClarity Verwaltungshub hochgeladen und als Endserverzertifikat für alle gehosteten Services verwendet werden kann.
  • Laden Sie das Serverzertifikat in Ihr lokales System herunter und importieren Sie es in die Liste mit vertrauenswürdigen Zertifikaten im Webbrowser.

Lenovo XClarity Verwaltungshub bietet verschiedene Services, die eingehende SSL/TLS-Verbindungen akzeptieren. Wenn sich ein Client, z. B. ein Webbrowser, mit einem dieser Services verbindet, stellt Lenovo XClarity Verwaltungshub sein Serverzertifikat bereit, das vom Client identifiziert wird, der eine Verbindung herstellen will. Der Client muss über eine Liste mit Zertifikaten verfügen, denen er vertraut. Wenn das Serverzertifikat von Lenovo XClarity Verwaltungshub nicht in der Liste des Client enthalten ist, trennt der Client die Verbindung mit Lenovo XClarity Verwaltungshub, damit keine vertraulichen Informationen mit einer nicht vertrauenswürdigen Quelle ausgetauscht werden.

Lenovo XClarity Verwaltungshub fungiert bei der Kommunikation mit verwalteten Einheiten und externen Services als Client. In diesem Fall stellen die verwaltete Einheit oder der externe Service ihr jeweiliges Serverzertifikat für ihre Authentifizierung bei Lenovo XClarity Verwaltungshub bereit. Lenovo XClarity Verwaltungshub hält eine Liste von vertrauenswürdigen Zertifikaten vor. Wenn das vertrauenswürdige Zertifikat, das von der verwalteten Einheit oder dem externen Service bereitgestellt wird, nicht in der Liste vorhanden ist, trennt Lenovo XClarity Verwaltungshub die entsprechende Verbindung, damit keine vertraulichen Informationen mit einer nicht vertrauenswürdigen Quelle ausgetauscht werden.

Die folgende Zertifikatskategorie wird von Lenovo XClarity Verwaltungshub Services verwendet und sollte von allen Clients, die eine Verbindung herstellen, als vertrauenswürdig gekennzeichnet werden.
  • Serverzertifikat. Während des ersten Boots werden ein eindeutiger Schlüssel und ein selbst signiertes Zertifikat generiert. Diese werden als die Standard-Stammzertifizierungsstelle verwendet, die auf der Seite „Zertifizierungsstelle“ in den Sicherheitseinstellungen von Lenovo XClarity Verwaltungshub verwaltet wird. Es ist nicht notwendig, das Stammzertifikat neu zu generieren, sofern kein Schlüssel kompromittiert wurde oder eine Unternehmensrichtlinie besteht, nach der alle Zertifikate regelmäßig ersetzt werden müssen (siehe Selbst signiertes Verwaltungshub-Serverzertifikat neu generieren).

    Bei der Erstkonfiguration wird auch ein separater Schlüssel generiert und es wird ein Serverzertifikat erstellt, das durch die interne Zertifizierungsstelle signiert wird. Dieses Zertifikat dient als standardmäßiges Lenovo XClarity Verwaltungshub-Serverzertifikat. Es wird automatisch jedes Mal neu generiert, wenn Lenovo XClarity Verwaltungshub ermittelt, dass seine Netzwerkadressen (IP‑ oder DNS-Adressen) sich geändert haben. So wird sichergestellt, dass das Zertifikat die korrekten Adressen für den Server enthält. Das Zertifikat kann nach Bedarf angepasst und generiert werden (siehe Selbst signiertes Verwaltungshub-Serverzertifikat neu generieren).

    Sie können festlegen, dass ein extern signiertes Serverzertifikat anstelle des standardmäßig selbst signierten Serverzertifikats verwendet wird, indem Sie eine Zertifikatssignieranforderung (CSR) generieren, die CSR von einer privaten oder kommerziellen Stammzertifizierungsstelle signieren lassen und dann die vollständige Zertifikatskette in Lenovo XClarity Verwaltungshub importieren (siehe Vertrauenswürdiges, extern signiertes Serverzertifikat für Verwaltungshub für Edge-Client-Einheiten installieren).

    Wenn Sie das standardmäßig selbst signierte Serverzertifikat verwenden möchten, wird empfohlen, das Serverzertifikat in Ihren Webbrowser als vertrauenswürdige Stammzertifizierungsstelle zu importieren, um Fehlernachrichten im Browser zu vermeiden (siehe Das Serverzertifikat in einen Webbrowser importieren).

  • Vom Betriebssystem implementiertes Zertifikat. Der Betriebssystem-Implementierungsservice verwendet ein separates Zertifikat, um zu gewährleisten, dass der Betriebssystem-Installer während des Implementierungsprozesses eine sichere Verbindung mit dem Implementierungsservice herstellen kann. Wenn der Schlüssel kompromittiert wurde, können Sie ihn neu generieren, indem Sie Lenovo XClarity Verwaltungshub neu starten.
  • Selbst signiertes Verwaltungshub-Serverzertifikat neu generieren
    Sie können ein neues Serverzertifikat generieren, um das aktuelle selbst signierte Lenovo XClarity Verwaltungshub-Serverzertifikat zu ersetzen oder ein von Verwaltungshub generiertes Zertifikat wiederherzustellen, wenn Verwaltungshub aktuell ein angepasstes extern signiertes Serverzertifikat verwendet. Das neue selbst signierte Serverzertifikat wird von Verwaltungshub für den HTTPS-Zugriff verwendet.
  • Vertrauenswürdiges, extern signiertes Serverzertifikat für Verwaltungshub für Edge-Client-Einheiten installieren
    Sie können ein von einer privaten oder einer kommerziellen Zertifizierungsstelle (Certificate Authority, CA) signiertes, vertrauenswürdiges Serverzertifikat verwenden. Wenn Sie ein extern signiertes Serverzertifikat verwenden möchten, generieren Sie eine Zertifikatssignieranforderung (CSR). Importieren Sie das daraus resultierende Serverzertifikat, um das vorhandene Serverzertifikat zu ersetzen.
  • Das Serverzertifikat in einen Webbrowser importieren
    Sie können eine Kopie des aktuellen Serverzertifikats im PEM-Format auf dem lokalen System speichern. Anschließend können Sie das Zertifikat in die Liste vertrauenswürdiger Zertifikate des Webbrowsers oder in andere Anwendungen importieren, um beim Zugriff auf Lenovo XClarity Verwaltungshub Sicherheitswarnungen des Webbrowsers zu vermeiden.