Aller au contenu principal

Installation d’un certificat de serveur sécurisé à signature externe XClarity Orchestrator

Vous pouvez choisir d’utiliser un certificat de serveur sécurisé qui a été signé par une autorité de certification privée ou commerciale (CA). Pour utiliser un certificat de serveur à signature externe, générez une demande de signature de certificat (CSR), puis importez le certificat de serveur qui en résulte afin de remplacer le certificat de serveur existant.

À propos de cette tâche

Il est recommandé de toujours utiliser des certificats signés v3.

Le certificat de serveur à signature externe doit être créé à partir de la dernière demande de signature de certificat générée, à l'aide du bouton Générer un fichier CSR.

Le contenu du certificat de serveur à signature externe doit être un groupe de certificats qui contient la chaîne de signature de l’autorité de certification entière, y compris le certificat racine de l’autorité de certification, tous les certificats intermédiaires et le certificat du serveur.

Si le nouveau certificat de serveur n'a pas été signé par un tiers de confiance, la prochaine fois que vous vous connecterez à XClarity Orchestrator, votre navigateur Web affichera un message de sécurité et une boîte de dialogue vous invitant à accepter le nouveau certificat dans le navigateur. Pour éviter les messages de sécurité, vous pouvez importer un certificat de serveur dans la liste de votre navigateur Web de certificats sécurisés (voir Importation du certificat du serveur dans un navigateur Web).

XClarity Orchestrator démarre à l’aide du nouveau certificat du serveur sans interrompre la session en cours. De nouvelles sessions sont établies avec le nouveau certificat. Pour utiliser le nouveau certificat en cours d'utilisation, redémarrez votre navigateur Web.

Important
Lorsque le certificat du serveur est modifié, toutes les sessions utilisateur établies doivent accepter le nouveau certificat en appuyant sur Ctrl+F5 pour actualiser le navigateur Web, puis en rétablissant la connexion à XClarity Orchestrator.

Procédure

Pour générer et installer un certificat de serveur à signature externe, procédez comme suit.

  1. Créez une demande de signature de certificat et enregistrez le fichier sur votre système local.
    1. Dans la barre de menus de XClarity Orchestrator, cliquez sur Administration (Icône Administration) > Sécurité, puis cliquez sur Certificat de serveur dans la navigation de gauche pour afficher la carte Générer une demande de signature de certificat.
      Carte Générer une demande de signature de certificat (CSR)
    2. À partir de la carte Générer une demande de signature de certificat, renseignez les zones correspondant à la demande.
      • Code ISO 3166 à deux lettres du pays ou de la région d’origine associée à l’organisation de certificat (par exemple, US pour les États-Unis).
      • Nom complet de l’État ou de la province à associer au certificat (Californie ou Nouveau-Brunswick, par exemple).
      • Nom complet de la ville à associer au certificat (par exemple, San Jose). La valeur ne doit pas comporter plus de 50 caractères.
      • Organisation (société) possédant le certificat. Généralement, il s’agit du nom légal d’une entreprise. Celui-ci doit inclure tous les suffixes, tels que Ltd., Inc. ou Corp (par exemple, ACME International Ltd.). Cette valeur ne doit pas comporter plus de 60 caractères.
      • (En option) Unité organisationnelle à laquelle appartient le certificat (par exemple, ABC Division). Cette valeur ne doit pas comporter plus de 60 caractères.
      • Nom commun du propriétaire du certificat. Il doit s’agit du nom d'hôte du serveur qui utilise le certificat. Cette valeur ne doit pas comporter plus de 63 caractères.
      • (Facultatif) Les autres noms de sujet (SAN) qui sont ajoutées à l'extension X.509 « subjectAltName » lorsque le fichier CSR est généré.

        Par défaut, XClarity Orchestrator définit automatiquement les autres noms de sujet (SAN) pour la CSR basé sur l’adresse IP et le nom d’hôte qui sont reconnus par les interfaces réseau du système d’exploitation XClarity Orchestrator invité. Vous pouvez personnaliser, supprimer ou ajouter les valeurs de ces autres noms de sujet. Toutefois, les autres noms sujets doivent avoir le nom de domaine complet (FQDN) ou l’adresse IP du serveur, et le nom d’objet doit être indiqué sur FQDN.

        Le nom que vous spécifiez doit être valide pour le type sélectionné.
        • DNS (utilisez le FQDN, par exemple, hostname.labs.company.com)
        • Adresse IP (par exemple, 192.0.2.0)
        • e-mail (par exemple, example@company.com)
        Remarque
        Tous les autres noms de sujet qui sont répertoriés dans le tableau sont validés, enregistrés et ajoutés au CSR uniquement après que vous générez le CSR à l'étape suivante.
  2. Fournissez la CSR à une autorité de certification sécurisée (CA). L'autorité de certification signe la CSR et renvoie un certificat de serveur.
  3. Importez le certificat du serveur à signature externe et le certificat de l’autorité de certification dans XClarity Orchestrator, puis remplacez le certificat du serveur actuel.
    1. Sur la carte Générer une demande de signature de certificat (CSR), cliquez sur Importer le certificat pour afficher la boîte de dialogue Importer un certificat.
    2. Copiez et collez le certificat du serveur et le certificat de l’autorité de certification au format PEM. Vous devez fournir la totalité de la chaîne de certificats, en commençant par le certificat du serveur et en finissant par le certificat racine de l’autorité de certification.
    3. Cliquez sur Importer pour stocker le certificat du serveur dans le fichier de clés certifiées XClarity Orchestrator.
  4. Acceptez le nouveau certificat en appuyant sur Ctrl + F5 pour actualiser le navigateur, puis en recréant votre connexion à l’interface Web. Cette opération doit être effectuée par toutes les sessions utilisateur établies.