Saltar al contenido principal

Trabajo con certificados de seguridad

Lenovo XClarity Orchestrator utiliza certificados de SSL para establecer comunicaciones seguras y de confianza entre XClarity Orchestrator y los gestores de recursos administrados (como Lenovo XClarity Administrator o Schneider Electric EcoStruxure IT Expert), así como comunicaciones de los usuarios con XClarity Orchestrator o con distintos servicios. De forma predeterminada, XClarity Orchestrator y Lenovo XClarity Administrator utilizan certificados generados por XClarity Orchestrator que están autofirmados y han sido emitidos por una entidad de certificación (CA) interna.

Antes de empezar

Esta sección está dirigida a administradores que tienen un conocimiento básico del estándar SSL y los certificados SSL, incluidos lo que son y cómo gestionarlos. Para obtener información general sobre los certificados de clave pública, consulte Página web de X.509 en Wikipedia y Página web de Certificado de infraestructura clave pública X.509 y perfil de lista de revocación de certificados (CRL) (RFC5280).

Acerca de esta tarea

El certificado de servidor predeterminado, que se genera de manera exclusiva en cada instancia de XClarity Orchestrator, proporciona suficiente seguridad para muchos entornos. Puede elegir permitir gestionar los certificados mediante XClarity Orchestrator o puede adoptar un papel más activo al personalizar y sustituir los certificados de servidor. XClarity Orchestrator proporciona opciones que le permiten personalizar certificados para su entorno. Por ejemplo, puede optar por:
  • Genere un nuevo par de claves regenerando la entidad de certificación interna o el certificado de servidor final que utilice valores específicos para su organización.
  • Genere una solicitud de firma de certificado (CSR) que pueda enviarse a la entidad de certificación de su elección para firmar un certificado personalizado que se pueda cargar después en XClarity Orchestrator para usarlo como certificado de servidor final para todos los servicios alojados.
  • Descargar el certificado de servidor en su sistema local de forma que pueda importar dicho certificado en la lista de certificados de confianza de su navegador web.

XClarity Orchestrator proporciona varios servicios que aceptan conexiones SSL/TLS entrantes. Cuando un cliente, como un navegador web, se conecta a uno de estos servicios, XClarity Orchestrator proporciona su certificado de servidor para ser identificado por el cliente que intenta realizar la conexión. El cliente debe mantener una lista de certificados en los que confía. Si el certificado de servidor de XClarity Orchestrator no está incluido en la lista del cliente, el cliente se desconecta de XClarity Orchestrator para evitar intercambiar cualquier información confidencial de seguridad con una fuente que no sea de confianza.

XClarity Orchestrator actúa como un cliente al comunicarse con los gestores de recursos y los servicios externos. Cuando esto ocurre, el gestor de recursos o el servicio externo proporcionan su certificado de servidor para que sea verificado por XClarity Orchestrator. XClarity Orchestrator mantiene una lista de certificados en los que confía. Si el certificado de confianza proporcionado por el gestor de recursos o servicio externo no aparece en la lista, XClarity Orchestrator se desconecta del dispositivo gestionado o servicio externo para evitar intercambiar información confidencial de seguridad con un origen no fiable.

Los servicios de XClarity Orchestrator utilizan la siguiente categoría de certificados y cualquier cliente que se conecte a él debe confiar en ellos.
  • Certificado del servidor. Durante el arranque inicial, se generan una clave única y un certificado autofirmado. Estos se usan como la Entidad de certificación de raíz predeterminada, que se puede gestionar en la página de Autoridad de certificación en los valores de seguridad de XClarity Orchestrator. No es necesario volver a generar el certificado de raíz a menos que se haya comprometido la clave o si su organización tiene una política que todos los certificados se deben reemplazar periódicamente (consulte Volver a generar el certificado de servidor firmado internamente de XClarity Orchestrator).

    También durante la configuración inicial, se genera una clave separada y se crea un certificado de servidor y es firmado por la autoridad de certificación interna. Este certificado utilizado como el certificado de servidor de XClarity Orchestrator predeterminado. Se regenera automáticamente cada vez que XClarity Orchestrator detecta que las direcciones de red (las direcciones IP o DNS) se han modificado para asegurarse de que el certificado contiene las direcciones correctas para el servidor. Se puede personalizar y se generara a demanda (consulte Volver a generar el certificado de servidor firmado internamente de XClarity Orchestrator).

    Puede elegir utilizar un certificado de servidor firmado externamente en lugar del certificado de servidor autofirmado predeterminado generando una solicitud de firma de certificado (CSR), teniendo la CSR firmada por una entidad de certificación raíz de certificado privada o comercial y luego importando la cadena de certificado completa en XClarity Orchestrator (consulte Instalación de un certificado de servidor de confianza firmado externamente del XClarity Orchestrator

    Si elige usar el certificado de servidor autofirmado predeterminado, se recomienda que importe el certificado del servidor en su navegador web como entidad de confianza de raíz para evitar los mensajes de error del certificado en su navegador (consulte Importación del certificado de servidor en un navegador web

Los clientes de XClarity Orchestrator utilizan la siguiente categoría (almacenes de confianza) de certificados.
  • Certificados de confianza

    Este almacén de confianza gestiona certificados que se usan para establecer una conexión segura con los recursos locales cuando XClarity Orchestrator actúa como un cliente. Ejemplos de recursos locales son Gestores de recursos, software local al reenviar sucesos, etc.

  • Certificados de servicios externos. Este almacén de confianza gestiona certificados que se usan para establecer una conexión segura con dispositivos externos cuando XClarity Orchestrator actúa como un cliente. Ejemplos de servicios externos son los servicios de Lenovo Support en línea que se usan para recuperar información de garantía o crear informes de servicio, software externo (como Splunk) al que se pueden reenviar sucesos. Contiene certificados de confianza preconfigurados de entidades de certificación raíz de ciertos proveedores de entidades de certificación conocidas a nivel mundial y de confianza común, (como Digicert y Globalsign).

    Cuando configure XClarity Orchestrator para usar una característica que requiere una conexión con otro servicio externo, consulte la documentación para determinar si necesita agregar manualmente un certificado a este almacén de confianza.

    Tenga en cuenta que los certificados en este almacén de confianza al establecer conexiones con otros servicios (como LDAP) a menos que también los agregue al almacén de confianza de Certificados de confianza principal. Eliminar certificados de este almacén de confianza evita una operación satisfactoria de estos servicios.

  • Adición de un certificado de confianza para servicios externos
    Estos certificados se utilizan para establecer relaciones de confianza con servicios externos. Por ejemplo, los certificados de este almacén se utilizan al recuperar la información de garantía de Lenovo, crear informes, reenviar sucesos a una aplicación externa (como Splunk) y usar servidores LDAP externos.
  • Adición de un certificado de confianza para servicios internos
    Estos certificados se utilizan para establecer relaciones de confianza con los recursos locales cuando Lenovo XClarity Orchestrator actúa como cliente de dichos recursos, como los administradores de recursos, el reenvío de sucesos al software local y el servidor LDAP incorporado. Además, el certificado de CA interno y el certificado de CA del certificado de servidor firmado externamente personalizado (si hay uno instalado) están presentes en esta almacén de confianza para admitir la comunicación interna de XClarity Orchestrator.
  • Instalación de un certificado de servidor de confianza firmado externamente del XClarity Orchestrator
    Puede optar por utilizar un certificado de servidor de confianza firmado por una entidad de certificación (CA) privada o comercial. Para utilizar el certificado de servidor firmado externamente, debe generar una solicitud de firma de certificado (CSR) e importar el certificado de servidor resultante para sustituir el certificado de servidor existente.
  • Volver a generar el certificado de servidor firmado internamente de XClarity Orchestrator
    Puede generar un nuevo certificado de servidor para sustituir el certificado firmado internamente actual de Lenovo XClarity Orchestrator o para reinstalar un certificado generador por XClarity Orchestrator si XClarity Orchestrator utiliza actualmente un certificado de servidor firmado externamente personalizado. El nuevo certificado de servidor firmado internamente se usa XClarity Orchestrator para el acceso HTTPS.
  • Importación del certificado de servidor en un navegador web
    Puede guardar una copia del certificado de servidor, en formato PEM, a su sistema local. Luego puede importar el certificado a la lista de certificados de confianza del navegador web o a otras aplicaciones (como Lenovo XClarity Mobile o Lenovo XClarity Integrator) para evitar los mensajes de advertencia de seguridad del navegador web cuando accede a Lenovo XClarity Orchestrator.