Gestion des certificats de sécurité pour Concentrateur de gestion Lenovo XClarity pour les appareils clients Edge
Le Concentrateur de gestion Lenovo XClarity utilise des certificats SSL afin d’établir des communications sécurisées et approuvées entre le Concentrateur de gestion Lenovo XClarity et ses appareils gérés, ainsi que des communications avec le Concentrateur de gestion Lenovo XClarity par les utilisateurs ou avec différents services. Par défaut, le Concentrateur de gestion Lenovo XClarity et XClarity Orchestrator utilisent des certificats générés par XClarity Orchestrator qui sont autosignés et émis par une autorité de certification interne.
Avant de commencer
Cette section s’adresse aux administrateurs qui ont une compréhension de base du SSL standard et des certificats SSL, y compris ce qu’ils sont et comment les gérer. Pour plus d’informations sur les certificats de clé publique, voir Page Web X.509 dans Wikipedia et Page Web Certificat d’infrastructure de clé publique Internet X.509 et profil de liste de révocation de certificat (CRL) (RFC5280).
À propos de cette tâche
- Générez une nouvelle paire de clés en regénérant l’autorité de certification interne et/ou le certificat du serveur final qui utilise des valeurs spécifiques à votre organisation.
- Générez une demande de signature de certificat (CSR) qui peut être envoyée à l’autorité de certification de votre choix pour signer un certificat personnalisé qui peut être téléchargé vers Concentrateur de gestion Lenovo XClarity en vue d’une utilisation comme certificat de serveur final pour tous ses services hébergés.
- Téléchargez le certificat serveur sur votre système local pour pouvoir importer ce certificat dans la liste de certificats sécurisés de votre navigateur Web.
Concentrateur de gestion Lenovo XClarity fournit plusieurs services qui acceptent les connexions SSL/TLS entrantes. Lorsqu’un client, par exemple, un navigateur Web, se connecte à l’un de ces services, Concentrateur de gestion Lenovo XClarity fournit son certificat serveur afin d’être identifié par le client lors des tentatives de connexion. Le client doit gérer une liste de certificats approuvés. Si le certificat du serveur Concentrateur de gestion Lenovo XClarity n’est pas inclus dans la liste du client, ce dernier se déconnecte de Concentrateur de gestion Lenovo XClarity afin d’éviter d’échanger des informations de sécurité sensibles avec une source non sécurisée.
Concentrateur de gestion Lenovo XClarity fait office de client lors de la communication avec des appareils gérés et des services externes. Lorsque cela se produit, l’appareil géré ou le service externe fourni son certificat de serveur en vue d’une vérification par le Concentrateur de gestion Lenovo XClarity. Le Concentrateur de gestion Lenovo XClarity conserve une liste des certificats de confiance. Si le certificat sécurisé fourni par l’appareil géré ou le service externe n’est pas répertorié, Concentrateur de gestion Lenovo XClarity se déconnecte de l’appareil géré ou du service externe pour éviter d’échanger toutes les informations de sécurité sensibles avec une source non sécurisée.
- Certificat de serveur. Lors de l’amorçage initiale, une clé unique et un certificat auto-signé sont générés. Ils sont utilisés en tant qu’autorité de certification racine par défaut, qui peut être gérée sur la page de l’autorité de certification dans les paramètres de sécurité de Concentrateur de gestion Lenovo XClarity. Il n’est pas nécessaire de regénérer ce certificat racine, sauf si la clé a été compromise ou si votre organisation dispose d’une règle indiquant que tous les certificats doivent être remplacés régulièrement (voir Régénération du certificat de serveur auto-signé Concentrateur de gestion).
De même, lors de la configuration initiale, une clé distincte est générée et un certificat de serveur est créé, puis signé par l’autorité de certification interne. Ce certificat est utilisé en tant que certificat de serveur Concentrateur de gestion Lenovo XClarity par défaut. Il se regénère automatiquement à chaque fois que Concentrateur de gestion Lenovo XClarity détecte que ses adresses de mise en réseau (adresses IP ou DNS) ont changé pour garantir que le certificat contient les adresses exactes pour le serveur. Il peut être personnalisé et généré à la demande (voir Régénération du certificat de serveur auto-signé Concentrateur de gestion).
Vous pouvez choisir d’utiliser un certificat de serveur à signature externe au lieu du certificat de serveur autosigné par défaut en générant une demande de signature de certificat (CSR), en faisant signer la CSR par une autorité de certification racine de certificat privée ou commerciale, puis en important l’intégralité de la chaîne de certificats dans Concentrateur de gestion Lenovo XClarity (voir Installation d’un certificat de serveur fiable et signé de manière externe pour Concentrateur de gestion pour les appareils clients Edge).
Si vous décidez d’utiliser le certificat de serveur autosigné par défaut, il est recommandé d’importer le certificat de serveur dans votre navigateur Web en tant qu’autorité racine sécurisée afin d’éviter les messages d’erreur de certificat dans votre navigateur (voir Importation du certificat du serveur dans un navigateur Web).
- Certificat de déploiement de SE. Un certificat séparé est utilisé par le service de déploiement du système d’exploitation pour garantir que le programme d’installation du système d’exploitation peut se connecter de manière sécurisée au service de déploiement lors du processus de déploiement. Si la clé a été compromise, vous pouvez la regénérer en redémarrant le Concentrateur de gestion Lenovo XClarity.