Gestión de certificados de seguridad para Concentrador de gestión de Lenovo XClarity para dispositivos de cliente perimetral
Concentrador de gestión de Lenovo XClarity utiliza certificados de SSL para establecer comunicaciones seguras y de confianza entre Concentrador de gestión de Lenovo XClarity y sus dispositivos gestionados, así como comunicaciones de los usuarios con Concentrador de gestión de Lenovo XClarity o con distintos servicios. De forma predeterminada, Concentrador de gestión de Lenovo XClarity y XClarity Orchestrator utilizan certificados generados por XClarity Orchestrator que están autofirmados y que han emitido una entidad de certificación (CA) interna.
Antes de empezar
Esta sección está dirigida a administradores que tienen un conocimiento básico del estándar SSL y los certificados SSL, incluidos lo que son y cómo gestionarlos. Para obtener información general sobre los certificados de clave pública, consulte Página web de X.509 en Wikipedia y Página web de Certificado de infraestructura clave pública X.509 y perfil de lista de revocación de certificados (CRL) (RFC5280).
Acerca de esta tarea
- Genere un nuevo par de claves regenerando la entidad de certificación interna o el certificado de servidor final que utilice valores específicos para su organización.
- Genere una solicitud de firma de certificado (CSR) que pueda enviarse a la entidad de certificación de su elección para firmar un certificado personalizado que se pueda cargar después en Concentrador de gestión de Lenovo XClarity para usarlo como certificado de servidor final para todos los servicios alojados.
- Descargar el certificado de servidor en su sistema local de forma que pueda importar dicho certificado en la lista de certificados de confianza de su navegador web.
Concentrador de gestión de Lenovo XClarity proporciona varios servicios que aceptan conexiones SSL/TLS entrantes. Cuando un cliente, como un navegador web, se conecta a uno de estos servicios, Concentrador de gestión de Lenovo XClarity proporciona su certificado de servidor para ser identificado por el cliente que intenta realizar la conexión. El cliente debe mantener una lista de certificados en los que confía. Si el certificado de servidor de Concentrador de gestión de Lenovo XClarity no está incluido en la lista del cliente, el cliente se desconecta de Concentrador de gestión de Lenovo XClarity para evitar intercambiar cualquier información confidencial de seguridad con una fuente que no sea de confianza.
Concentrador de gestión de Lenovo XClarity actúa como un cliente al comunicarse con los dispositivos gestionados y los servicios externos. Cuando esto ocurre, el dispositivo gestionado o el servicio externo proporciona su certificado de servidor para que sea verificado por Concentrador de gestión de Lenovo XClarity. Concentrador de gestión de Lenovo XClarity mantiene una lista de certificados en los que confía. Si el certificado de confianza proporcionado por el dispositivo gestionado o servicio externo no aparece en la lista, Concentrador de gestión de Lenovo XClarity se desconecta del dispositivo gestionado o servicio externo para evitar intercambiar información confidencial de seguridad con un origen no fiable.
- Certificado del servidor. Durante el arranque inicial, se generan una clave única y un certificado autofirmado. Estos se usan como la Entidad de certificación de raíz predeterminada, que se puede gestionar en la página de Autoridad de certificación en los valores de seguridad de Concentrador de gestión de Lenovo XClarity. No es necesario volver a generar el certificado de raíz a menos que se haya comprometido la clave o si su organización tiene una política que todos los certificados se deben reemplazar periódicamente (consulte Nueva generación del certificado de servidor autofirmado de Concentrador de gestión).
También durante la configuración inicial, se genera una clave separada y se crea un certificado de servidor y es firmado por la autoridad de certificación interna. Este certificado utilizado como el certificado de servidor de Concentrador de gestión de Lenovo XClarity predeterminado. Se regenera automáticamente cada vez que Concentrador de gestión de Lenovo XClarity detecta que las direcciones de red (las direcciones IP o DNS) se han modificado para asegurarse de que el certificado contiene las direcciones correctas para el servidor. Se puede personalizar y se generara a demanda (consulte Nueva generación del certificado de servidor autofirmado de Concentrador de gestión).
Puede elegir utilizar un certificado de servidor firmado externamente en lugar del certificado de servidor autofirmado predeterminado generando una solicitud de firma de certificado (CSR), teniendo la CSR firmada por una entidad de certificación raíz de certificado privada o comercial y luego importando la cadena de certificado completa en Concentrador de gestión de Lenovo XClarity (consulte Instalación de un certificado de servidor firmado externamente y de confianza para dispositivos de cliente perimetral de Concentrador de gestión
Si elige usar el certificado de servidor autofirmado predeterminado, se recomienda que importe el certificado del servidor en su navegador web como entidad de confianza de raíz para evitar los mensajes de error del certificado en su navegador (consulte Importación del certificado de servidor en un navegador web
- Certificado de despliegue de SO. El servicio de despliegue del sistema operativo usa un certificado separado para asegurarse de que el instalador del sistema operativo pueda conectarse de forma segura al servicio de despliegue durante el proceso de despliegue. Si se ha comprometido la clave, puede volver a generarla reiniciando el Concentrador de gestión de Lenovo XClarity.