Trabajo con certificados de seguridad
Lenovo XClarity Orchestrator utiliza certificados de SSL para establecer comunicaciones seguras y de confianza entre XClarity Orchestrator y los gestores de recursos administrados (como Lenovo XClarity Administrator o Schneider Electric EcoStruxure IT Expert), así como comunicaciones de los usuarios con XClarity Orchestrator o con distintos servicios. De forma predeterminada, XClarity Orchestrator y Lenovo XClarity Administrator utilizan certificados generados por XClarity Orchestrator que están autofirmados y han sido emitidos por una entidad de certificación (CA) interna.
Antes de empezar
Esta sección está dirigida a administradores que tienen un conocimiento básico del estándar SSL y los certificados SSL, incluidos lo que son y cómo gestionarlos. Para obtener información general sobre los certificados de clave pública, consulte Página web de X.509 en Wikipedia y Página web de Certificado de infraestructura clave pública X.509 y perfil de lista de revocación de certificados (CRL) (RFC5280).
Acerca de esta tarea
- Genere un nuevo par de claves regenerando la entidad de certificación interna o el certificado de servidor final que utilice valores específicos para su organización.
- Genere una solicitud de firma de certificado (CSR) que pueda enviarse a la entidad de certificación de su elección para firmar un certificado personalizado que se pueda cargar después en XClarity Orchestrator para usarlo como certificado de servidor final para todos los servicios alojados.
- Descargar el certificado de servidor en su sistema local de forma que pueda importar dicho certificado en la lista de certificados de confianza de su navegador web.
XClarity Orchestrator proporciona varios servicios que aceptan conexiones SSL/TLS entrantes. Cuando un cliente, como un navegador web, se conecta a uno de estos servicios, XClarity Orchestrator proporciona su certificado de servidor para ser identificado por el cliente que intenta realizar la conexión. El cliente debe mantener una lista de certificados en los que confía. Si el certificado de servidor de XClarity Orchestrator no está incluido en la lista del cliente, el cliente se desconecta de XClarity Orchestrator para evitar intercambiar cualquier información confidencial de seguridad con una fuente que no sea de confianza.
XClarity Orchestrator actúa como un cliente al comunicarse con los gestores de recursos y los servicios externos. Cuando esto ocurre, el gestor de recursos o el servicio externo proporcionan su certificado de servidor para que sea verificado por XClarity Orchestrator. XClarity Orchestrator mantiene una lista de certificados en los que confía. Si el certificado de confianza proporcionado por el gestor de recursos o servicio externo no aparece en la lista, XClarity Orchestrator se desconecta del dispositivo gestionado o servicio externo para evitar intercambiar información confidencial de seguridad con un origen no fiable.
- Certificado del servidor. Durante el arranque inicial, se generan una clave única y un certificado autofirmado. Estos se usan como la Entidad de certificación de raíz predeterminada, que se puede gestionar en la página de Autoridad de certificación en los valores de seguridad de XClarity Orchestrator. No es necesario volver a generar el certificado de raíz a menos que se haya comprometido la clave o si su organización tiene una política que todos los certificados se deben reemplazar periódicamente (consulte Volver a generar el certificado de servidor firmado internamente de XClarity Orchestrator).
También durante la configuración inicial, se genera una clave separada y se crea un certificado de servidor y es firmado por la autoridad de certificación interna. Este certificado utilizado como el certificado de servidor de XClarity Orchestrator predeterminado. Se regenera automáticamente cada vez que XClarity Orchestrator detecta que las direcciones de red (las direcciones IP o DNS) se han modificado para asegurarse de que el certificado contiene las direcciones correctas para el servidor. Se puede personalizar y se generara a demanda (consulte Volver a generar el certificado de servidor firmado internamente de XClarity Orchestrator).
Puede elegir utilizar un certificado de servidor firmado externamente en lugar del certificado de servidor autofirmado predeterminado generando una solicitud de firma de certificado (CSR), teniendo la CSR firmada por una entidad de certificación raíz de certificado privada o comercial y luego importando la cadena de certificado completa en XClarity Orchestrator (consulte Instalación de un certificado de servidor de confianza firmado externamente del XClarity Orchestrator
Si elige usar el certificado de servidor autofirmado predeterminado, se recomienda que importe el certificado del servidor en su navegador web como entidad de confianza de raíz para evitar los mensajes de error del certificado en su navegador (consulte Importación del certificado de servidor en un navegador web
- Certificados de confianza
Este almacén de confianza gestiona certificados que se usan para establecer una conexión segura con los recursos locales cuando XClarity Orchestrator actúa como un cliente. Ejemplos de recursos locales son Gestores de recursos, software local al reenviar sucesos, etc.
- Certificados de servicios externos. Este almacén de confianza gestiona certificados que se usan para establecer una conexión segura con dispositivos externos cuando XClarity Orchestrator actúa como un cliente. Ejemplos de servicios externos son los servicios de Lenovo Support en línea que se usan para recuperar información de garantía o crear informes de servicio, software externo (como Splunk) al que se pueden reenviar sucesos. Contiene certificados de confianza preconfigurados de entidades de certificación raíz de ciertos proveedores de entidades de certificación conocidas a nivel mundial y de confianza común, (como Digicert y Globalsign).
Cuando configure XClarity Orchestrator para usar una característica que requiere una conexión con otro servicio externo, consulte la documentación para determinar si necesita agregar manualmente un certificado a este almacén de confianza.
Tenga en cuenta que los certificados en este almacén de confianza al establecer conexiones con otros servicios (como LDAP) a menos que también los agregue al almacén de confianza de Certificados de confianza principal. Eliminar certificados de este almacén de confianza evita una operación satisfactoria de estos servicios.