Zum Hauptinhalt springen

Vertrauenswürdiges, extern signiertes Serverzertifikat für Verwaltungshub für Edge-Client-Einheiten installieren

Sie können ein von einer privaten oder einer kommerziellen Zertifizierungsstelle (Certificate Authority, CA) signiertes, vertrauenswürdiges Serverzertifikat verwenden. Wenn Sie ein extern signiertes Serverzertifikat verwenden möchten, generieren Sie eine Zertifikatssignieranforderung (CSR). Importieren Sie das daraus resultierende Serverzertifikat, um das vorhandene Serverzertifikat zu ersetzen.

Vorbereitende Schritte

Achtung
  • Wenn Sie ein extern signiertes Lenovo XClarity Verwaltungshub-Serverzertifikat mithilfe einer neuen Stamm-Zertifizierungsstelle installieren, verliert Verwaltungshub die Verbindung zu den verwalteten Einheiten und Sie müssen die Einheiten erneut verwalten. Wenn Sie ein extern signiertes Lenovo XClarity Verwaltungshub-Serverzertifikat installieren, ohne die Stamm-Zertifizierungsstelle zu ändern (z. B. bei einem abgelaufenen Zertifikat), müssen die Einheiten nicht erneut verwaltet werden.
  • Wenn neue Einheiten hinzugefügt werden, nachdem die CSR generiert wurde und bevor das signierte Serverzertifikat importiert wird, müssen diese Einheiten neu gestartet werden, um das neue Serverzertifikat zu erhalten.

Zu dieser Aufgabe

Es hat sich bewährt, immer v3-signierte Zertifikate zu verwenden.

Das extern signierte Serverzertifikat muss von der Zertifikatssignieranforderung erstellt werden, die als letzte mithilfe der Schaltfläche CSR-Datei generieren generiert wurde.

Der Inhalt des extern signierten Serverzertifikats muss ein Zertifikatspaket sein, das die gesamte Signierungskette der Zertifizierungsstelle enthält, einschließlich des Stammzertifikats der Zertifizierungsstelle, eventueller Zwischenzertifikate und des Serverzertifikats.

Wenn das neue Serverzertifikat nicht von einem vertrauenswürdigen Drittanbieter signiert wurde, wird das nächste Mal, wenn Sie eine Verbindung mit Lenovo XClarity Verwaltungshub herstellen, im Webbrowser eine Sicherheitsnachricht angezeigt. In einem Dialogfeld werden Sie aufgefordert, das neue Zertifikat im Browser zu akzeptieren. Sie können das Serverzertifikat in die Liste vertrauenswürdiger Zertifikate Ihres Webbrowsers importieren, um die Sicherheitsnachrichten zu vermeiden (siehe Das Serverzertifikat in einen Webbrowser importieren).

Verwaltungshub beginnt, das neue Serverzertifikat zu verwenden, ohne die aktuelle Sitzung zu beenden. Neue Sitzungen werden mit dem neuen Zertifikat gestartet. Um das neue verwendete Zertifikat zu verwenden, starten Sie den Webbrowser neu.

Wichtig
Wenn das Serverzertifikat geändert wird, müssen alle bestehenden Benutzersitzungen das neue Zertifikat durch Klicken auf Strg+F5 akzeptieren. Dadurch wird der Webbrowser aktualisiert und die Verbindung zu Verwaltungshub wird wiederhergestellt.

Vorgehensweise

Gehen Sie wie folgt vor, um ein extern signiertes Serverzertifikat zu generieren und zu installieren.

  1. Erstellen Sie eine Zertifikatssignieranforderung und speichern Sie die Datei auf Ihrem lokalen System.
    1. Klicken Sie in der Menüleiste von Verwaltungshub auf Sicherheit (Symbol „Sicherheit“) > Serverzertifikat, um die Übersicht Zertifikatssignieranforderung (CSR) generieren anzuzeigen.
      Übersicht „Zertifikatssignieranforderung (CSR) generieren“
    2. Geben Sie in der Übersicht „Zertifikatssignieranforderung (CSR) generieren“ Daten in die Felder für die Anforderung ein.
      • Zweistelliger ISO 3166-Code für das ursprüngliche Land oder die ursprüngliche Region, der der Zertifizierungsorganisation zugeordnet ist (z. B. US für die Vereinigten Staaten).
      • Vollständiger Name des Bundesstaats/-lands, das dem Zertifikat zugeordnet werden soll (z. B. Kalifornien oder New Brunswick).
      • Vollständiger Name der Stadt, die dem Zertifikat zugeordnet werden soll (z. B. San Jose). Die Länge des Werts darf 50 Zeichen nicht überschreiten.
      • Unternehmen, dem das Zertifikat gehören soll. In der Regel handelt es sich hierbei um den eingetragenen Namen eines Unternehmens. Dies sollte alle Suffixe umfassen wie etwa Ltd., Inc. oder GmbH (z. B. ACME International Ltd.). Die Länge des Werts darf 60 Zeichen nicht überschreiten.
      • (Optional) Organisationseinheit, der das Zertifikat gehören soll (z. B. Sparte ABC). Die Länge des Werts darf 60 Zeichen nicht überschreiten.
      • Allgemeiner Name des Zertifikatsinhabers. Dies muss der Hostname des Servers sein, der das Zertifikat verwendet. Die Länge des Werts darf 63 Zeichen nicht überschreiten.
        Anmerkung
        Derzeit hat dieses Attribut keine Auswirkungen auf das Zertifikat.
      • (Optional) Alternative Namen, die beim Generieren der CSR angepasst, gelöscht und zur Erweiterung X.509 „subjectAltName“ hinzugefügt werden. Die angegebenen alternativen Namen werden validiert (basierend auf dem angegebenen Typ) und erst zur CSR hinzugefügt, nachdem Sie die CSR generiert haben.

        Standardmäßig definiert Verwaltungshub automatisch alternative Namen für die Zertifikatssignieranforderung auf Basis der IP-Adresse und des Hostnamens, die von den Netzwerkschnittstellen des Gastbetriebssystems von Verwaltungshub erkannt werden.

        Achtung
        Die alternativen Namen müssen den vollständig qualifizierten Domänennamen (FQDN) oder die IP-Adresse des Verwaltungshubs enthalten und der Name muss auf den FQDN des Verwaltungshubs festgelegt sein. Prüfen Sie vor Beginn des CSR-Prozesses, dass diese erforderlichen Felder vorhanden und korrekt sind, um sicherzustellen, dass das daraus resultierende Zertifikat vollständig ist. Fehlende Zertifikatsdaten können zu nicht vertrauenswürdigen Verbindungen führen, wenn Sie versuchen, den Verwaltungshub mit Lenovo XClarity Orchestrator zu verbinden.
        Der von Ihnen angegebene Name muss für den ausgewählten Typ gültig sein.
        • DNS (FQDN verwenden, z. B. hostname.labs.company.com)
        • IP-Adresse (z. B. 192.0.2.0)
        • E-Mail (z. B. example@company.com)
  2. Übermitteln Sie die Zertifikatssignieranforderung an eine vertrauenswürdige Zertifizierungsstelle (Certificate Authority, CA). Die Zertifizierungsstelle signiert die Zertifikatssignieranforderung und gibt ein Serverzertifikat zurück.
  3. Importieren Sie das extern signierte Serverzertifikat und das Zertifizierungsstellenzertifikat in Verwaltungshub und ersetzen Sie das aktuelle Serverzertifikat.
    1. Klicken Sie in der Übersicht „Zertifikatssignieranforderung (CSR) generieren“ auf Zertifikat importieren, um das Dialogfeld Zertifikat importieren anzuzeigen.
    2. Kopieren Sie das Serverzertifikat und das Zertifizierungsstellenzertifikat im PEM-Format und fügen Sie sie ein. Sie müssen die gesamte Zertifikatskette angeben, beginnend mit dem Serverzertifikat und endend mit dem Zertifizierungsstellenzertifikat.
    3. Klicken Sie auf Importieren, um das Serverzertifikat im Verwaltungshub-Truststore zu speichern.
  4. Akzeptieren Sie das neue Zertifikat, indem Sie Strg + F5 drücken, um den Browser zu aktualisieren, und dann die Verbindung zur Webschnittstelle wiederherstellen. Dies muss von allen bestehenden Benutzersitzungen durchgeführt werden.