Zum Hauptinhalt springen

Sicherheitszertifikate von XClarity Management Hub 2.0 verwalten

Lenovo XClarity Management Hub 2.0 verwendet SSL-Zertifikate für die Einrichtung von sicheren und vertrauenswürdigen Kommunikationsverbindungen zwischen dem Verwaltungshub und den verwalteten Einheiten sowie für die Herstellung von Kommunikationsverbindungen mit dem Verwaltungshub durch Benutzer oder verschiedenen Services. Standardmäßig verwenden XClarity Management Hub 2.0 und das XClarity Orchestrator Portal selbst signierte, von XClarity Orchestrator generierte Zertifikate, die von einer internen Zertifizierungsstelle ausgestellt wurden.

ÜBERPRÜFT von Corneliu P, Stefan J: 4. Dez. 2023

Achtung
Für die Verwaltung von Sicherheitszertifikaten ist ein grundlegendes Verständnis von SSL-Standards und SSL-Zertifikaten erforderlich, einschließlich ihrer Verwaltung. Allgemeine Informationen zu Zertifikaten mit öffentlichen Schlüsseln finden Sie unter X.509-Webseite in Wikipedia und Webseite „Internet X.509 Public Key-Infrastrukturzertifikat und Zertifikatsperrliste (CRL) Profil (RFC5280)“.

Das eindeutige Standardserverzertifikat, das in jeder Instanz von XClarity Management Hub 2.0 generiert wird, bietet eine ausreichende Sicherheit für viele Umgebungen. Sie können die Zertifikate wahlweise von XClarity Management Hub 2.0 verwalten lassen oder eine aktivere Rolle übernehmen und die Serverzertifikate selbst anpassen und ersetzen. XClarity Management Hub 2.0 bietet verschiedene Optionen zum Anpassen von Zertifikaten an Ihre Umgebung. Beispielsweise können Sie Folgendes auswählen:

  • Generieren Sie ein neues Schlüsselpaar, indem Sie die interne Zertifizierungsstelle und/oder das Endserverzertifikat erneut generieren, das spezifische Werte für Ihre Organisation verwendet.

  • Generieren Sie eine Zertifikatssignieranforderung (CSR), die an eine Zertifizierungsstelle Ihrer Wahl gesendet werden kann. Hier wird ein benutzerdefiniertes Zertifikat signiert, das zum Verwaltungshub hochgeladen und als Endserverzertifikat für alle gehosteten Services verwendet werden kann.

  • Laden Sie das Serverzertifikat in Ihr lokales System herunter und importieren Sie es in die Liste mit vertrauenswürdigen Zertifikaten im Webbrowser.

XClarity Management Hub 2.0 bietet verschiedene Services, die eingehende SSL/TLS-Verbindungen akzeptieren. Wenn sich ein Client, z. B. ein Webbrowser, mit einem dieser Services verbindet, stellt der Verwaltungshub sein Serverzertifikat bereit, das vom Client identifiziert wird, der eine Verbindung herstellen will. Der Client muss über eine Liste mit Zertifikaten verfügen, denen er vertraut. Wenn das Serverzertifikat des Verwaltungshubs nicht in der Liste des Client enthalten ist, trennt der Client die Verbindung mit dem Verwaltungshub, damit keine vertraulichen Informationen mit einer nicht vertrauenswürdigen Quelle ausgetauscht werden.

XClarity Management Hub 2.0 fungiert bei der Kommunikation mit verwalteten Einheiten und externen Services als Client. In diesem Fall stellt die verwaltete Einheit oder der externe Service ihr bzw. sein Serverzertifikat zur Überprüfung durch den Verwaltungshub zur Verfügung. Der Verwaltungshub verfügt über eine Liste mit Zertifikaten, denen er vertraut. Wenn das vertrauenswürdige Zertifikat, das von der verwalteten Einheit oder dem externen Service bereitgestellt wird, nicht in der Liste vorhanden ist, trennt der Verwaltungshub die entsprechende Verbindung, damit keine vertraulichen Informationen mit einer nicht vertrauenswürdigen Quelle ausgetauscht werden.

Serverzertifikat

Während des ersten Boots werden ein eindeutiger Schlüssel und ein selbst signiertes Zertifikat generiert. Diese werden als die Standard-Stammzertifizierungsstelle verwendet, die auf der Seite „Zertifizierungsstelle“ in den Sicherheitseinstellungen von XClarity Management Hub 2.0 verwaltet wird. Es ist nicht notwendig, das Stammzertifikat neu zu generieren, sofern kein Schlüssel kompromittiert wurde oder eine Unternehmensrichtlinie besteht, nach der alle Zertifikate regelmäßig ersetzt werden müssen (siehe Selbst signiertes XClarity Management Hub 2.0-Serverzertifikat neu generieren).

Bei der Erstkonfiguration wird auch ein separater Schlüssel generiert und es wird ein Serverzertifikat erstellt, das durch die interne Zertifizierungsstelle signiert wird. Dieses Zertifikat dient als standardmäßiges Verwaltungshub-Serverzertifikat. Es wird immer dann automatisch neu generiert, wenn XClarity Management Hub 2.0 feststellt, dass sich seine IP-Adresse, sein Hostname oder Domänenname geändert haben. So wird sichergestellt, dass das Zertifikat die korrekten Adressen für den Server enthält. Das Zertifikat kann nach Bedarf angepasst und generiert werden (siehe Selbst signiertes XClarity Management Hub 2.0-Serverzertifikat neu generieren).

Sie können festlegen, dass ein extern signiertes Serverzertifikat anstelle des standardmäßig selbst signierten Serverzertifikats verwendet wird, indem Sie eine Zertifikatssignieranforderung (CSR) generieren, die CSR von einer privaten oder kommerziellen Stammzertifizierungsstelle signieren lassen und dann die vollständige Zertifikatskette in den Verwaltungshub importieren (siehe Ein vertrauenswürdiges, extern signiertes XClarity Management Hub 2.0 Serverzertifikat installieren).

Wenn Sie das standardmäßig selbst signierte Serverzertifikat verwenden möchten, wird empfohlen, das Serverzertifikat in Ihren Webbrowser als vertrauenswürdige Stammzertifizierungsstelle zu importieren, um Fehlernachrichten im Browser zu vermeiden (siehe XClarity Management Hub 2.0-Serverzertifikat in einen Webbrowser importieren).

  • Selbst signiertes XClarity Management Hub 2.0-Serverzertifikat neu generieren
    Sie können ein neues Serverzertifikat generieren, um das aktuelle selbst signierte Lenovo XClarity Management Hub 2.0-Serverzertifikat zu ersetzen oder ein vom Verwaltungshub generiertes Zertifikat wiederherzustellen, wenn XClarity Management Hub 2.0 aktuell ein angepasstes extern signiertes Serverzertifikat verwendet. Das neue selbst signierte Serverzertifikat wird vom Verwaltungshub für den HTTPS-Zugriff verwendet.
  • Ein vertrauenswürdiges, extern signiertes XClarity Management Hub 2.0 Serverzertifikat installieren
    Sie können ein von einer privaten oder einer kommerziellen Zertifizierungsstelle (Certificate Authority, CA) signiertes, vertrauenswürdiges Serverzertifikat verwenden. Wenn Sie ein extern signiertes Serverzertifikat verwenden möchten, generieren Sie eine Zertifikatssignieranforderung (CSR). Importieren Sie das daraus resultierende Serverzertifikat, um das vorhandene Serverzertifikat zu ersetzen.
  • XClarity Management Hub 2.0-Serverzertifikat in einen Webbrowser importieren
    Sie können eine Kopie des aktuellen Serverzertifikats im PEM-Format auf dem lokalen System speichern. Anschließend können Sie das Zertifikat in die Liste vertrauenswürdiger Zertifikate des Webbrowsers oder in andere Anwendungen importieren, um beim Zugriff auf Lenovo XClarity Management Hub 2.0 Sicherheitswarnungen des Webbrowsers zu vermeiden.