Utilisation de certificats de sécurité
Lenovo XClarity Orchestrator utilise des certificats SSL pour établir des communications sécurisées et approuvées entre XClarity Orchestrator et ses gestionnaires de ressources gérés (comme Lenovo XClarity Administrator ou Schneider Electric EcoStruxure IT Expert), ainsi que les communications avec XClarity Orchestrator par les utilisateurs ou avec différents services. Par défaut, XClarity Orchestrator et Lenovo XClarity Administrator utilisent des certificats générés par XClarity Orchestrator qui sont autosignés et émis par une autorité de certification interne.
Avant de commencer
Cette section s’adresse aux administrateurs qui ont une compréhension de base du SSL standard et des certificats SSL, y compris ce qu’ils sont et comment les gérer. Pour plus d’informations sur les certificats de clé publique, voir Page Web X.509 dans Wikipedia et Page Web Certificat d’infrastructure de clé publique Internet X.509 et profil de liste de révocation de certificat (CRL) (RFC5280).
À propos de cette tâche
- Générez une nouvelle paire de clés en regénérant l’autorité de certification interne et/ou le certificat du serveur final qui utilise des valeurs spécifiques à votre organisation.
- Générez une demande de signature de certificat (CSR) qui peut être envoyée à l’autorité de certification de votre choix pour signer un certificat personnalisé qui peut être téléchargé vers XClarity Orchestrator en vue d’une utilisation comme certificat de serveur final pour tous ses services hébergés.
- Téléchargez le certificat serveur sur votre système local pour pouvoir importer ce certificat dans la liste de certificats sécurisés de votre navigateur Web.
XClarity Orchestrator fournit plusieurs services qui acceptent les connexions SSL/TLS entrantes. Lorsqu’un client, par exemple, un navigateur Web, se connecte à l’un de ces services, XClarity Orchestrator fournit son certificat serveur afin d’être identifié par le client lors des tentatives de connexion. Le client doit gérer une liste de certificats approuvés. Si le certificat du serveur XClarity Orchestrator n’est pas inclus dans la liste du client, ce dernier se déconnecte de XClarity Orchestrator afin d’éviter d’échanger des informations de sécurité sensibles avec une source non sécurisée.
XClarity Orchestrator fait office de client lors de la communication avec des gestionnaires de ressources et des services externes. Lorsque cela se produit, le gestionnaire de ressources ou le fournisseur de service externe fourni son certificat de serveur en vue d’une vérification par XClarity Orchestrator. XClarity Orchestrator conserve une liste de certificats de confiance. Si le certificat sécurisé fourni par le gestionnaire de ressources ou le service externe n’est pas répertorié, XClarity Orchestrator se déconnecte de l’appareil géré ou du service externe afin d’éviter d’échanger des informations de sécurité sensibles avec une source non sécurisée.
- Certificat de serveur. Lors de l’amorçage initiale, une clé unique et un certificat auto-signé sont générés. Ils sont utilisés en tant qu’autorité de certification racine par défaut, qui peut être gérée sur la page de l’autorité de certification dans les paramètres de sécurité de XClarity Orchestrator. Il n’est pas nécessaire de regénérer ce certificat racine, sauf si la clé a été compromise ou si votre organisation dispose d’une règle indiquant que tous les certificats doivent être remplacés régulièrement (voir Régénération certificat de serveur à signature interne XClarity Orchestrator).
De même, lors de la configuration initiale, une clé distincte est générée et un certificat de serveur est créé, puis signé par l’autorité de certification interne. Ce certificat est utilisé en tant que certificat de serveur XClarity Orchestrator par défaut. Il se regénère automatiquement à chaque fois que XClarity Orchestrator détecte que ses adresses de mise en réseau (adresses IP ou DNS) ont changé pour garantir que le certificat contient les adresses exactes pour le serveur. Il peut être personnalisé et généré à la demande (voir Régénération certificat de serveur à signature interne XClarity Orchestrator).
Vous pouvez choisir d’utiliser un certificat de serveur à signature externe au lieu du certificat de serveur autosigné par défaut en générant une demande de signature de certificat (CSR), en faisant signer la CSR par une autorité de certification racine de certificat privée ou commerciale, puis en important l’intégralité de la chaîne de certificats dans XClarity Orchestrator (voir Installation d’un certificat de serveur sécurisé à signature externe XClarity Orchestrator).
Si vous décidez d’utiliser le certificat de serveur autosigné par défaut, il est recommandé d’importer le certificat de serveur dans votre navigateur Web en tant qu’autorité racine sécurisée afin d’éviter les messages d’erreur de certificat dans votre navigateur (voir Importation du certificat du serveur dans un navigateur Web).
- Certificats sécurisés
Ce fichier de clés certifiées gère des certificats qui sont utilisés pour établir une connexion sécurisée aux ressources locales lorsque XClarity Orchestrator fait office de client. Les exemples de ressources locales sont des gestionnaires de ressources gérés, des logiciels locaux lors d’un événement de réacheminement, etc.
- Certificats pour services externes. Ce fichier de clés certifiées gère des certificats qui sont utilisés pour établir une connexion sécurisée avec des ressources externes lorsque XClarity Orchestrator fait office de client. Les exemples de services externes sont des services du support Lenovo en ligne qui sont utilisés pour récupérer les informations de garantie ou créer des tickets de maintenance, des logiciels externes (par exemple, Splunk) vers lesquels des événements peuvent être réacheminés. Il contient des certificats sécurisés et préconfigurés, issus des autorités de certification racine de certains fournisseurs d’autorité de certificats fiables et reconnus dans le monde entier, comme Digicert et Globalsign).
Lorsque vous configurez XClarity Orchestrator afin d’utiliser une fonction qui nécessite une connexion à un autre service externe, reportez-vous aux documents afin de déterminer si vous devez ajouter manuellement un certificat à ce fichier de clés certifiées.
Veuillez noter que les certificats dans ce fichier de clés certifiées ne sont pas sécurisés lors de l’établissement de connexions pour d’autres services (comme LDAP), sauf si vous les ajoutez également au principal fichier de clés certifiées de certificats sécurisés. Le fait de retirer des certificats de ce fichier de clés certifiées empêche le bon fonctionnement de ces services.