Saltar al contenido principal

Instalación de un certificado de servidor firmado externamente y de confianza para dispositivos de cliente perimetral de Concentrador de gestión

Puede optar por utilizar un certificado de servidor de confianza firmado por una entidad de certificación (CA) privada o comercial. Para utilizar el certificado de servidor firmado externamente, debe generar una solicitud de firma de certificado (CSR) e importar el certificado de servidor resultante para sustituir el certificado de servidor existente.

Antes de empezar

Atención
  • Si instala un certificado de servidor de confianza firmado externamente del Concentrador de gestión de Lenovo XClarity utilizando una nueva CA raíz, Concentrador de gestión pierde su conexión con los dispositivos gestionados y debe volver a gestionar los dispositivos. Si instala un certificado de servidor firmado externamente de Concentrador de gestión de Lenovo XClarity sin cambiar la CA raíz (por ejemplo, cuando el certificado ha caducado), no es necesario volver a gestionar los dispositivos.
  • Si se añaden nuevos dispositivos después de generar la CSR y antes de importar el certificado de servidor firmado, esos dispositivos deben reiniciarse para recibir el nuevo certificado de servidor.

Acerca de esta tarea

Como práctica recomendada, utilice siempre los certificados firmados v3.

El certificado de servidor firmado externamente se debe haber creado a partir de la solicitud de firma de certificado generada más recientemente con el botón Generar archivo CSR.

El contenido del certificado de servidor firmado externamente debe ser un conjunto de certificados que contiene toda la cadena de firma de la CA, incluido el certificado raíz de la CA, todos los certificados intermedios y el certificado de servidor.

Si el nuevo certificado de servidor no fue firmado por un tercero de confianza, la próxima vez que conecte a Concentrador de gestión de Lenovo XClarity, el navegador web mostrará un mensaje de seguridad y un cuadro de diálogo que le pide que acepte el nuevo certificado en el navegador. Para evitar los mensajes de seguridad, puede importar el certificado de servidor en la lista de certificados de confianza del navegador web (consulte Importación del certificado de servidor en un navegador web).

Concentrador de gestión comienza a utilizar el nuevo certificado de servidor sin finalizar la sesión actual. Las nuevas sesiones se establecen utilizando el nuevo certificado. Para usar el nuevo certificado en uso, reinicie el navegador web.

Importante
Cuando se modifica el certificado de servidor, todas las sesiones de usuario establecidas deben aceptar el nuevo certificado pulsando Ctrl + F5 para actualizar el navegador web y volver a establecer su conexión con Concentrador de gestión.

Procedimiento

Para generar e instalar un certificado de servidor firmado externamente, complete los pasos siguientes.

  1. Cree una solicitud de firma de certificado y guarde el archivo en el sistema local.
    1. En la barra de menús de Concentrador de gestión, haga clic en Seguridad (Icono de seguridad) > Certificado de servidor para mostrar la tarjeta de Generar solicitud de firma de certificado.
      Tarjeta de Generar solicitud de firma de certificado (CSR)
    2. Desde la tarjeta Generar solicitud de firma de certificado (CSR), complete los campos para la solicitud.
      • Código ISO 3166 de dos letras del país o región de origen asociado a la organización de certificados (por ejemplo, US para Estados Unidos).
      • Nombre completo del estado o provincia que se va a asociar con el certificado (por ejemplo, California o New Brunswick).
      • Nombre completo de la ciudad que se va a asociar con el certificado (por ejemplo, San Jose). La longitud del valor no puede sobrepasar de 50 caracteres.
      • Organización (compañía) que es propietaria del certificado. Normalmente, este es el nombre de incorporación legal de una compañía. Debe incluir cualquier sufijo, como Ltd., Inc. o Corp (por ejemplo, ACME International Ltd.). La longitud de este valor no puede sobrepasar de 60 caracteres.
      • (Opcional) Unidad organizativa que es propietaria del certificado (por ejemplo, división ABC). La longitud de este valor no puede sobrepasar de 60 caracteres.
      • Nombre común del propietario del certificado. Este debe ser el nombre de host del servidor que está utilizando el certificado. La longitud de este valor no puede sobrepasar de 63 caracteres.
        Nota
        Actualmente, este atributo no afecta al certificado.
      • (Opcional) Los nombres alternativos de asunto que se personalizan, eliminan y añaden a la extensión X.509 “subjectAltName” cuando se genera la CSR. Los nombres alternativos de asunto especificados están validados (según el tipo especificado) y se añaden a la CSR después de generar la CSR.

        De forma predeterminada, Concentrador de gestión define automáticamente los nombres alternativos de asunto para CSR según la dirección IP y el nombre de host que se detectó mediante las interfaces de red del sistema operativo invitado de Concentrador de gestión.

        Atención
        Los nombres alternativos del asunto deben incluir el nombre de dominio completo (FQDN) o la dirección IP del concentrador de gestión, y el nombre del asunto debe establecerse con FQDN del concentrador de gestión. Compruebe que estos campos obligatorios estén presentes y sean correctos antes de iniciar el proceso de CSR para asegurarse de que el certificado resultante esté completo. Si faltan datos de certificado, puede que las conexiones no sean de confianza al intentar conectar el concentrador de gestión a Lenovo XClarity Orchestrator.
        El nombre que especifique debe ser válido para el tipo seleccionado.
        • DNS (utilice el FQDN, por ejemplo, hostname.labs.company.com)
        • Dirección IP (por ejemplo, 192.0.2.0)
        • Correo electrónico (por ejemplo, example@company.com)
  2. Proporcione una entidad emisora de certificación de confianza (CA) para CSR. La CA firma el CSR y arroja un certificado de servidor.
  3. Importe el certificado de servidor firmado externamente y el certificado de la CA a Concentrador de gestión y sustituya el certificado de servidor actual.
    1. En la tarjeta generar solicitud de firma de certificado (CSR) , haga clic en Importar certificado para mostrar el cuadro de diálogo Importar certificado.
    2. Copie y pegue el certificado de servidor y el certificado de la CA en formato PEM. Debe proporcionar toda la cadena de certificados, comenzando con el certificado de servidor y terminando en el certificado de CA raíz.
    3. Haga clic en Importar para almacenar el certificado de servidor en el almacén de confianza de Concentrador de gestión.
  4. Acepte el nuevo certificado pulsando Ctrl+F5 para actualizar el navegador y luego vuelva a establecer la conexión con la interfaz web. Esto debe ser realizado por todas las sesiones de usuario establecidas.