Saltar al contenido principal

Instalación de un certificado de servidor de confianza firmado externamente del de XClarity Management Hub 2.0

Puede optar por utilizar un certificado de servidor de confianza firmado por una entidad de certificación (CA) privada o comercial. Para utilizar el certificado de servidor firmado externamente, debe generar una solicitud de firma de certificado (CSR) e importar el certificado de servidor resultante para sustituir el certificado de servidor existente.

REVISADO POR Corneliu P, Stefan J: 4 de diciembre de 2023

Consideraciones

Atención
  • Si instala un certificado de servidor de confianza firmado externamente utilizando una nueva CA raíz, el concentrador de gestión pierde su conexión con los dispositivos gestionados y debe volver a gestionar los dispositivos. Si instala un certificado de servidor firmado externamente sin cambiar la CA raíz (por ejemplo, cuando el certificado ha caducado), no es necesario volver a gestionar los dispositivos.

  • Si se añaden nuevos dispositivos después de generar la CSR y antes de importar el certificado de servidor firmado, esos dispositivos deben reiniciarse para recibir el nuevo certificado de servidor.

Como práctica recomendada, utilice siempre los certificados firmados v3.

El certificado de servidor firmado externamente se debe haber creado a partir de la solicitud de firma de certificado generada más recientemente para el concentrador de gestión.

El contenido del certificado de servidor firmado externamente debe ser un conjunto de certificados que contiene toda la cadena de firma de la CA, incluido el certificado raíz de la CA, todos los certificados intermedios y el certificado de servidor.

Si el nuevo certificado de servidor no fue firmado por un tercero de confianza, la próxima vez que conecte a XClarity Management Hub 2.0, el navegador web mostrará un mensaje de seguridad y un cuadro de diálogo que le pide que acepte el nuevo certificado en el navegador. Para evitar los mensajes de seguridad, puede importar el certificado de servidor en la lista de certificados de confianza del navegador web (consulte Importación del certificado de servidor del de XClarity Management Hub 2.0 en un navegador web).

El navegador web se actualiza automáticamente para aceptar el nuevo certificado.

Instalación de un certificado de servidor de confianza firmado externamente

Para generar e instalar un certificado de servidor firmado externamente, complete los pasos siguientes.

  1. Cree una solicitud de firma de certificado y guarde el archivo en el sistema local.

    1. Haga clic en Certificados en el menú contextual de la vista Seguridad.

    2. En el panel Generar solicitud de firma de certificado (CSR), proporcione valores en cada campo y, a continuación, haga clic en Generar archivo CSR.

      • La organización suele ser el nombre de constitución jurídica de la empresa propietaria del certificado. Incluya cualquier sufijo, como Ltd., Inc. o Corp (por ejemplo, ACME International Ltd.).

      • La unidad organizativa es la división de la empresa propietaria del certificado (por ejemplo, división ABC).

      • El nombre común suele ser el nombre de dominio completo (FQDN) o la dirección IP del servidor que usa el certificado (por ejemplo, www.domainname.com o 192.0.2.0). La longitud de este valor no puede sobrepasar de 63 caracteres.

      • Puede personalizar los nombres alternativos de asunto en la extensión “subjectAltName” de X.509 en la CSR resultante. Si proporciona uno o más nombres alternativos de asuntos en la CSR, solo los nombres alternativos de asunto proporcionados se almacenan en la CSR. Puede proporcionar nombres alternativos de asunto para los siguientes tipos. Asegúrese de que los nombres que especifique sean válidos para el tipo seleccionado. Los nombres alternativos de asunto especificados están validados (según el tipo especificado) y se añaden a la CSR después de generar la CSR.

        • DNS (utilice el nombre de host o FQDN, por ejemplo, hostname.labs.company.com)
        • Dirección IP (por ejemplo, 192.0.2.0)
        • Correo electrónico (por ejemplo, example@company.com)
        Si no se proporcionan nombres alternativos de asunto, se utilizan los nombres y el tipo de concentrador de gestión predeterminados.
        • Dirección IP. Dirección IP del concentrador de gestión actual

        • Nombre de DNS. Nombre del host del concentrador de gestión

        • Nombre de DNS. FQDN del concentrador de gestión, si se proporciona el nombre de dominio. De lo contrario, está vacío.

        Atención
        Los nombres alternativos del asunto deben incluir el nombre de host o el nombre de dominio completo (FQDN) y la dirección IP del concentrador de gestión, y el nombre del asunto debe establecerse con el nombre de host o FQDN del concentrador de gestión. Compruebe que estos campos obligatorios estén presentes y sean correctos antes de iniciar el proceso de CSR para asegurarse de que el certificado resultante esté completo. Si faltan datos de certificado, puede que las conexiones no sean de confianza al intentar conectar el concentrador de gestión a Lenovo XClarity Orchestrator.
      Importante
      • Antes de continuar, compruebe que el certificado recién generado contiene el FQDN y la dirección IP como parte de los nombres alternativos del asunto.

      • Asegúrese de que el certificado recién generado esté configurado para utilizarse como certificado de servidor y como certificado de cliente.

  2. Proporcione una entidad emisora de certificación de confianza (CA) para CSR. La CA firma el CSR y arroja un certificado de servidor.

    Atención
    Todos los nombres alternativos de asunto que están almacenados en la CSR se deben usar para firmar la CSR y generar el certificado web.
  3. Importe el certificado de servidor firmado externamente y el certificado de la CA a XClarity Management Hub 2.0 para sustituir el certificado de servidor actual.

    1. En el panel Solicitud de firma de certificado (CSR), haga clic en Importar certificado para mostrar el cuadro de diálogo Importar certificado.

    2. Inserte el certificado de servidor firmado externamente, en formato PEM. Debe proporcionar toda la cadena de certificados, comenzando con el certificado de servidor y terminando en el certificado de CA raíz.

    3. Haga clic en Importar para almacenar el certificado de servidor en el almacén de confianza de concentradores de gestión.

      Atención
      Los nombres alternativos de asunto que están almacenados en la CSR en el concentrador de gestión deben coincidir exactamente con los nombres alternativos de asunto almacenados en el certificado de servidor que se está importando. Si hay una discrepancia (por ejemplo, si la dirección IP del certificado CSR/firmado no es la misma que la del concentrador de gestión), la importación e instalación del certificado de servidor se realizará correctamente, pero puede dar como resultado conexiones no fiables (como no poder acceder a la interfaz de usuario).