Gestion des certificats de sécurité pour Lenovo XClarity Management Hub pour les appareils clients Edge
Le Lenovo XClarity Management Hub utilise des certificats SSL afin d’établir des communications sécurisées et approuvées entre le Lenovo XClarity Management Hub et ses appareils gérés, ainsi que des communications avec le Lenovo XClarity Management Hub par les utilisateurs ou avec différents services. Par défaut, le Lenovo XClarity Management Hub et XClarity Orchestrator utilisent des certificats générés par XClarity Orchestrator qui sont autosignés et émis par une autorité de certification interne.
Avant de commencer
Cette section s’adresse aux administrateurs qui ont une compréhension de base du SSL standard et des certificats SSL, y compris ce qu’ils sont et comment les gérer. Pour plus d’informations sur les certificats de clé publique, voir Page Web X.509 dans Wikipedia et Page Web Certificat d’infrastructure de clé publique Internet X.509 et profil de liste de révocation de certificat (CRL) (RFC5280).
À propos de cette tâche
- Générez une nouvelle paire de clés en regénérant l’autorité de certification interne et/ou le certificat du serveur final qui utilise des valeurs spécifiques à votre organisation.
- Générez une demande de signature de certificat (CSR) qui peut être envoyée à l’autorité de certification de votre choix pour signer un certificat personnalisé qui peut être téléchargé vers Lenovo XClarity Management Hub en vue d’une utilisation comme certificat de serveur final pour tous ses services hébergés.
- Téléchargez le certificat serveur sur votre système local pour pouvoir importer ce certificat dans la liste de certificats sécurisés de votre navigateur Web.
Lenovo XClarity Management Hub fournit plusieurs services qui acceptent les connexions SSL/TLS entrantes. Lorsqu’un client, par exemple, un navigateur Web, se connecte à l’un de ces services, Lenovo XClarity Management Hub fournit son certificat serveur afin d’être identifié par le client lors des tentatives de connexion. Le client doit gérer une liste de certificats approuvés. Si le certificat du serveur Lenovo XClarity Management Hub n’est pas inclus dans la liste du client, ce dernier se déconnecte de Lenovo XClarity Management Hub afin d’éviter d’échanger des informations de sécurité sensibles avec une source non sécurisée.
Lenovo XClarity Management Hub fait office de client lors de la communication avec des appareils gérés et des services externes. Lorsque cela se produit, l’appareil géré ou le service externe fourni son certificat de serveur en vue d’une vérification par le Lenovo XClarity Management Hub. Le Lenovo XClarity Management Hub conserve une liste des certificats de confiance. Si le certificat sécurisé fourni par l’appareil géré ou le service externe n’est pas répertorié, Lenovo XClarity Management Hub se déconnecte de l’appareil géré ou du service externe pour éviter d’échanger toutes les informations de sécurité sensibles avec une source non sécurisée.
- Certificat de serveur. Lors de l’amorçage initiale, une clé unique et un certificat auto-signé sont générés. Ils sont utilisés en tant qu’autorité de certification racine par défaut, qui peut être gérée sur la page de l’autorité de certification dans les paramètres de sécurité de Lenovo XClarity Management Hub. Il n’est pas nécessaire de regénérer ce certificat racine, sauf si la clé a été compromise ou si votre organisation dispose d’une règle indiquant que tous les certificats doivent être remplacés régulièrement (voir Régénération du certificat de serveur autosigné pour XClarity Management Hub pour les appareils clients Edge).
De même, lors de la configuration initiale, une clé distincte est générée et un certificat de serveur est créé, puis signé par l’autorité de certification interne. Ce certificat est utilisé en tant que certificat de serveur Lenovo XClarity Management Hub par défaut. Il se regénère automatiquement à chaque fois que Lenovo XClarity Management Hub détecte que ses adresses de mise en réseau (adresses IP ou DNS) ont changé pour garantir que le certificat contient les adresses exactes pour le serveur. Il peut être personnalisé et généré à la demande (voir Régénération du certificat de serveur autosigné pour XClarity Management Hub pour les appareils clients Edge).
Vous pouvez choisir d’utiliser un certificat de serveur à signature externe au lieu du certificat de serveur autosigné par défaut en générant une demande de signature de certificat (CSR), en faisant signer la CSR par une autorité de certification racine de certificat privée ou commerciale, puis en important l’intégralité de la chaîne de certificats dans Lenovo XClarity Management Hub (voir Installation d’un certificat de serveur fiable et signé de manière externe pour XClarity Management Hub pour les appareils clients Edge).
Si vous décidez d’utiliser le certificat de serveur autosigné par défaut, il est recommandé d’importer le certificat de serveur dans votre navigateur Web en tant qu’autorité racine sécurisée afin d’éviter les messages d’erreur de certificat dans votre navigateur (voir Importation du certificat de serveur dans un navigateur Web pour Lenovo XClarity Management Hub pour les appareils clients Edge).
- Certificat de déploiement de SE. Un certificat séparé est utilisé par le service de déploiement du système d’exploitation pour garantir que le programme d’installation du système d’exploitation peut se connecter de manière sécurisée au service de déploiement lors du processus de déploiement. Si la clé a été compromise, vous pouvez la regénérer en redémarrant le Lenovo XClarity Management Hub.