Aller au contenu principal

Utilisation de certificats de sécurité

Lenovo XClarity Orchestrator utilise des certificats SSL pour établir des communications sécurisées et approuvées entre XClarity Orchestrator et ses gestionnaires de ressources gérés (comme Lenovo XClarity Administrator ou Schneider Electric EcoStruxure IT Expert), ainsi que les communications avec XClarity Orchestrator par les utilisateurs ou avec différents services. Par défaut, XClarity Orchestrator et Lenovo XClarity Administrator utilisent des certificats générés par XClarity Orchestrator qui sont autosignés et émis par une autorité de certification interne.

Avant de commencer

Cette section s’adresse aux administrateurs qui ont une compréhension de base du SSL standard et des certificats SSL, y compris ce qu’ils sont et comment les gérer. Pour plus d’informations sur les certificats de clé publique, voir Page Web X.509 dans Wikipedia et Page Web Certificat d’infrastructure de clé publique Internet X.509 et profil de liste de révocation de certificat (CRL) (RFC5280).

À propos de cette tâche

Le certificat du serveur par défaut, qui est généré de manière unique dans chaque instance de XClarity Orchestrator, fournit une sécurité suffisante pour de nombreux environnements. Vous pouvez choisir de laisser XClarity Orchestrator gérer les certificats pour vous, ou vous pouvez jouer un rôle plus actif en personnalisant ou en remplaçant les certificats du serveur. XClarity Orchestrator inclut des options pour la personnalisation des certificats pour votre environnement. Par exemple, vous pouvez choisir de :
  • Générez une nouvelle paire de clés en regénérant l’autorité de certification interne et/ou le certificat du serveur final qui utilise des valeurs spécifiques à votre organisation.
  • Générez une demande de signature de certificat (CSR) qui peut être envoyée à l’autorité de certification de votre choix pour signer un certificat personnalisé qui peut être téléchargé vers XClarity Orchestrator en vue d’une utilisation comme certificat de serveur final pour tous ses services hébergés.
  • Téléchargez le certificat serveur sur votre système local pour pouvoir importer ce certificat dans la liste de certificats sécurisés de votre navigateur Web.

XClarity Orchestrator fournit plusieurs services qui acceptent les connexions SSL/TLS entrantes. Lorsqu’un client, par exemple, un navigateur Web, se connecte à l’un de ces services, XClarity Orchestrator fournit son certificat serveur afin d’être identifié par le client lors des tentatives de connexion. Le client doit gérer une liste de certificats approuvés. Si le certificat du serveur XClarity Orchestrator n’est pas inclus dans la liste du client, ce dernier se déconnecte de XClarity Orchestrator afin d’éviter d’échanger des informations de sécurité sensibles avec une source non sécurisée.

XClarity Orchestrator fait office de client lors de la communication avec des gestionnaires de ressources et des services externes. Lorsque cela se produit, le gestionnaire de ressources ou le fournisseur de service externe fourni son certificat de serveur en vue d’une vérification par XClarity Orchestrator. XClarity Orchestrator conserve une liste de certificats de confiance. Si le certificat sécurisé fourni par le gestionnaire de ressources ou le service externe n’est pas répertorié, XClarity Orchestrator se déconnecte de l’appareil géré ou du service externe afin d’éviter d’échanger des informations de sécurité sensibles avec une source non sécurisée.

La catégorie de certificats suivante est utilisée par les services XClarity Orchestrator et doit être fiable pour tout client qui se connecte à lui.
  • Certificat de serveur. Lors de l’amorçage initiale, une clé unique et un certificat auto-signé sont générés. Ils sont utilisés en tant qu’autorité de certification racine par défaut, qui peut être gérée sur la page de l’autorité de certification dans les paramètres de sécurité de XClarity Orchestrator. Il n’est pas nécessaire de regénérer ce certificat racine, sauf si la clé a été compromise ou si votre organisation dispose d’une règle indiquant que tous les certificats doivent être remplacés régulièrement (voir Régénération certificat de serveur à signature interne XClarity Orchestrator).

    De même, lors de la configuration initiale, une clé distincte est générée et un certificat de serveur est créé, puis signé par l’autorité de certification interne. Ce certificat est utilisé en tant que certificat de serveur XClarity Orchestrator par défaut. Il se regénère automatiquement à chaque fois que XClarity Orchestrator détecte que ses adresses de mise en réseau (adresses IP ou DNS) ont changé pour garantir que le certificat contient les adresses exactes pour le serveur. Il peut être personnalisé et généré à la demande (voir Régénération certificat de serveur à signature interne XClarity Orchestrator).

    Vous pouvez choisir d’utiliser un certificat de serveur à signature externe au lieu du certificat de serveur autosigné par défaut en générant une demande de signature de certificat (CSR), en faisant signer la CSR par une autorité de certification racine de certificat privée ou commerciale, puis en important l’intégralité de la chaîne de certificats dans XClarity Orchestrator (voir Installation d’un certificat de serveur sécurisé à signature externe XClarity Orchestrator).

    Si vous décidez d’utiliser le certificat de serveur autosigné par défaut, il est recommandé d’importer le certificat de serveur dans votre navigateur Web en tant qu’autorité racine sécurisée afin d’éviter les messages d’erreur de certificat dans votre navigateur (voir Importation du certificat du serveur dans un navigateur Web).

La catégorie suivante (fichiers de clés certifiées) de certificats est utilisée par les clients XClarity Orchestrator.
  • Certificats sécurisés

    Ce fichier de clés certifiées gère des certificats qui sont utilisés pour établir une connexion sécurisée aux ressources locales lorsque XClarity Orchestrator fait office de client. Les exemples de ressources locales sont des gestionnaires de ressources gérés, des logiciels locaux lors d’un événement de réacheminement, etc.

  • Certificats pour services externes. Ce fichier de clés certifiées gère des certificats qui sont utilisés pour établir une connexion sécurisée avec des ressources externes lorsque XClarity Orchestrator fait office de client. Les exemples de services externes sont des services du support Lenovo en ligne qui sont utilisés pour récupérer les informations de garantie ou créer des tickets de maintenance, des logiciels externes (par exemple, Splunk) vers lesquels des événements peuvent être réacheminés. Il contient des certificats sécurisés et préconfigurés, issus des autorités de certification racine de certains fournisseurs d’autorité de certificats fiables et reconnus dans le monde entier, comme Digicert et Globalsign).

    Lorsque vous configurez XClarity Orchestrator afin d’utiliser une fonction qui nécessite une connexion à un autre service externe, reportez-vous aux documents afin de déterminer si vous devez ajouter manuellement un certificat à ce fichier de clés certifiées.

    Veuillez noter que les certificats dans ce fichier de clés certifiées ne sont pas sécurisés lors de l’établissement de connexions pour d’autres services (comme LDAP), sauf si vous les ajoutez également au principal fichier de clés certifiées de certificats sécurisés. Le fait de retirer des certificats de ce fichier de clés certifiées empêche le bon fonctionnement de ces services.

  • Ajout d’un certificat sécurisé pour services externes
    Ces certificats sont utilisés pour établir des relations d’approbation avec des services externes. Par exemple, les certificats de ce fichier de clés sont utilisés lors de la récupération des informations de garantie de Lenovo, de la création de tickets, de l’acheminement des événements vers une application externe (par exemple, Splunk) et de l’utilisation de serveurs LDAP externes.
  • Ajout d’un certificat sécurisé pour services internes
    Ces certificats sont utilisés pour établir des relations d’approbation avec des ressources locales lorsque Lenovo XClarity Orchestrator agit en tant que client de ces ressources, telles que les gestionnaires de ressources, l’acheminement des événements vers un logiciel local et le serveur LDAP intégré. De plus, le certificat de l’autorité de certification interne et le certificat de l’autorité de certification d’un certificat de serveur personnalisé à signature externe (s’il est installé) sont présents dans ce fichier de clés certifiées pour soutenir la communication interne de XClarity Orchestrator.
  • Installation d’un certificat de serveur sécurisé à signature externe XClarity Orchestrator
    Vous pouvez choisir d’utiliser un certificat de serveur sécurisé qui a été signé par une autorité de certification privée ou commerciale (CA). Pour utiliser un certificat de serveur à signature externe, générez une demande de signature de certificat (CSR), puis importez le certificat de serveur qui en résulte afin de remplacer le certificat de serveur existant.
  • Régénération certificat de serveur à signature interne XClarity Orchestrator
    Vous pouvez générer un nouveau certificat de serveur pour remplacer le serveur de certificat actuel signé en interne Lenovo XClarity Orchestrator ou pour rétablir un certificat généré par XClarity Orchestrator si XClarity Orchestrator utilise actuellement un certificat de serveur à signature externe personnalisé. Le nouveau certificat de serveur à signature interne est utilisé par XClarity Orchestrator pour l’accès HTTPS.
  • Importation du certificat du serveur dans un navigateur Web
    Vous pouvez enregistrer une copie du certificat du serveur en cours, au format PEM, sur votre système local. Vous pouvez ensuite importer le certificat dans la liste de certificats sécurisés de votre navigateur Web ou dans d’autres applications (comme Lenovo XClarity Mobile ou Lenovo XClarity Integrator) pour éviter les messages d’avertissement de sécurité de votre navigateur Web lorsque vous accédez à Lenovo XClarity Orchestrator.