Zum Hauptinhalt springen

Ein vertrauenswürdiges, extern signiertes XClarity Management Hub 2.0 Serverzertifikat installieren

Sie können ein von einer privaten oder einer kommerziellen Zertifizierungsstelle (Certificate Authority, CA) signiertes, vertrauenswürdiges Serverzertifikat verwenden. Wenn Sie ein extern signiertes Serverzertifikat verwenden möchten, generieren Sie eine Zertifikatssignieranforderung (CSR). Importieren Sie das daraus resultierende Serverzertifikat, um das vorhandene Serverzertifikat zu ersetzen.

ÜBERPRÜFT von Corneliu P, Stefan J: 4. Dez. 2023

Hinweise

Achtung

  • Wenn Sie ein extern signiertes Serverzertifikat mithilfe einer neuen Stamm-Zertifizierungsstelle installieren, verliert der Verwaltungshub die Verbindung zu den verwalteten Einheiten und Sie müssen die Einheiten erneut verwalten. Wenn Sie ein extern signiertes Serverzertifikat installieren, ohne die Stamm-Zertifizierungsstelle zu ändern (z. B. bei einem abgelaufenen Zertifikat), müssen die Einheiten nicht erneut verwaltet werden.

  • Wenn neue Einheiten hinzugefügt werden, nachdem die CSR generiert wurde und bevor das signierte Serverzertifikat importiert wird, müssen diese Einheiten neu gestartet werden, um das neue Serverzertifikat zu erhalten.

Es hat sich bewährt, immer v3-signierte Zertifikate zu verwenden.

Das extern signierte Serverzertifikat muss von der Zertifikatssignieranforderung erstellt werden, die zuletzt für den Verwaltungshub generiert wurde.

Der Inhalt des extern signierten Serverzertifikats muss ein Zertifikatspaket sein, das die gesamte Signierungskette der Zertifizierungsstelle enthält, einschließlich des Stammzertifikats der Zertifizierungsstelle, eventueller Zwischenzertifikate und des Serverzertifikats.

Wenn das neue Serverzertifikat nicht von einem vertrauenswürdigen Drittanbieter signiert wurde, wird das nächste Mal, wenn Sie eine Verbindung mit XClarity Management Hub 2.0 herstellen, im Webbrowser eine Sicherheitsnachricht angezeigt. In einem Dialogfeld werden Sie aufgefordert, das neue Zertifikat im Browser zu akzeptieren. Sie können das Serverzertifikat in die Liste vertrauenswürdiger Zertifikate Ihres Webbrowsers importieren, um die Sicherheitsnachrichten zu vermeiden (siehe XClarity Management Hub 2.0-Serverzertifikat in einen Webbrowser importieren).

Der Webbrowser wird automatisch aktualisiert, um das neue Zertifikat zu akzeptieren.

Vertrauenswürdiges, extern signiertes Serverzertifikat installieren

Gehen Sie wie folgt vor, um ein extern signiertes Serverzertifikat zu generieren und zu installieren.

  1. Erstellen Sie eine Zertifikatssignieranforderung und speichern Sie die Datei auf Ihrem lokalen System.

    1. Klicken Sie im Kontextmenü in der Ansicht Sicherheit auf Zertifikate.

    2. Geben Sie im Bereich Zertifikatssignieranforderung (CSR) generieren Werte in jedem Feld ein und klicken Sie auf CSR-Datei generieren.

      • Bei der Organisation handelt es sich in der Regel um den eingetragenen Namen des Unternehmens, das das Zertifikat besitzt. Geben Sie alle Suffixe an, wie etwa Ltd., Inc. oder GmbH (z. B. ACME International Ltd.).

      • Bei der Organisationseinheit handelt es sich um die Abteilung im Unternehmen, der das Zertifikat gehören soll (z. B. ABC-Abteilung).

      • Beim allgemeinen Namen handelt es sich in der Regel um den vollständig qualifizierten Domänennamen (FQDN) oder die IP-Adresse des Servers, der das Zertifikat verwendet (z. B. www.domainname.com oder 192.0.2.0). Die Länge des Werts darf 63 Zeichen nicht überschreiten.

      • Sie können die alternativen Namen des Themas in der X.509-Erweiterung „subjectAltName“ in der daraus resultierenden CSR anpassen. Wenn Sie in der CSR einen oder mehrere alternative Namen angeben, werden nur die von Ihnen angegebenen alternativen Namen in der CSR gespeichert. Sie können alternative Namen für die folgenden Typen angeben. Stellen Sie sicher, dass die von Ihnen angegebenen Namen für den ausgewählten Typ gültig sind. Die angegebenen alternativen Namen werden validiert (basierend auf dem angegebenen Typ) und erst zur CSR hinzugefügt, nachdem Sie die CSR generiert haben.

        • DNS (Hostnamen oder FQDN verwenden, z. B. hostname.labs.company.com)
        • IP-Adresse (z. B. 192.0.2.0)
        • E-Mail (z. B. example@company.com)
        Wenn keine alternativen Namen angegeben werden, werden Standardnamen und ‑typ vom Verwaltungshub verwendet.

        • IP-Adresse. Aktuelle IP-Adresse des Verwaltungshubs

        • DNS-Name. Hostname des Verwaltungshubs

        • DNS-Name. FQDN des Verwaltungshubs, falls der Domänenname angegeben wird. Andernfalls ist dieser leer.

        Achtung
        Die alternativen Namen müssen den Hostnamen oder vollständig qualifizierten Domänennamen (FQDN) und die IP-Adresse des Verwaltungshubs enthalten, und der Name muss auf den Hostnamen oder FQDN des Verwaltungshubs festgelegt sein. Prüfen Sie vor Beginn des CSR-Prozesses, dass diese erforderlichen Felder vorhanden und korrekt sind, um sicherzustellen, dass das daraus resultierende Zertifikat vollständig ist. Fehlende Zertifikatsdaten können zu nicht vertrauenswürdigen Verbindungen führen, wenn Sie versuchen, den Verwaltungshub mit Lenovo XClarity Orchestrator zu verbinden.
      Wichtig

      • Bevor Sie fortfahren, müssen Sie überprüfen, ob das neu generierte Zertifikat den FQDN und die IP-Adresse als Teil des alternativen Namens enthält.

      • Stellen Sie sicher, dass das neu generierte Zertifikat so konfiguriert ist, dass es sowohl als Serverzertifikat als auch als Clientzertifikat verwendet wird.

  2. Übermitteln Sie die Zertifikatssignieranforderung an eine vertrauenswürdige Zertifizierungsstelle (Certificate Authority, CA). Die Zertifizierungsstelle signiert die Zertifikatssignieranforderung und gibt ein Serverzertifikat zurück.

    Achtung
    Alle alternativen Namen, die in der CSR gespeichert sind, müssen zum Signieren der CSR und zum Generieren des Webzertifikats verwendet werden.

  3. Importieren Sie das extern signierte Serverzertifikat und das Zertifizierungsstellenzertifikat in XClarity Management Hub 2.0, um das aktuelle Serverzertifikat zu ersetzen.

    1. Klicken Sie im Bereich Zertifikatssignieranforderung (CSR) auf Zertifikat importieren, um das Dialogfeld Zertifikat importieren anzuzeigen.

    2. Fügen Sie das extern signierte Serverzertifikat im PEM-Format ein. Sie müssen die gesamte Zertifikatskette angeben, beginnend mit dem Serverzertifikat und endend mit dem Zertifizierungsstellenzertifikat.

    3. Klicken Sie auf Importieren, um das Serverzertifikat im Verwaltungshub-Truststore zu speichern.

      Achtung
      Die alternativen Namen, die in der CSR auf dem Verwaltungshub gespeichert sind, müssen exakt mit den alternativen Namen übereinstimmen, die im zu importierenden Serverzertifikat gespeichert sind. Wenn sie sich unterschieden (z. B. wenn die IP-Adresse der CSR/des signierten Zertifikats nicht mit der des Verwaltungshubs übereinstimmt), wird das Importieren und Installieren des Serverzertifikats zwar erfolgreich sein, kann aber zu Verbindungen führen, die nicht vertrauenswürdig sind (d. h. dass kein Zugriff auf die Benutzerschnittstelle möglich ist).