Aller au contenu principal

Installation d’un certificat de serveur fiable et signé de manière externe pour XClarity Management Hub pour les appareils clients Edge

Vous pouvez choisir d’utiliser un certificat de serveur sécurisé qui a été signé par une autorité de certification privée ou commerciale (CA). Pour utiliser un certificat de serveur à signature externe, générez une demande de signature de certificat (CSR), puis importez le certificat de serveur qui en résulte afin de remplacer le certificat de serveur existant.

Avant de commencer

Avertissement
  • Si vous installez le Lenovo XClarity Management Hub certificat du serveur signé en externe à l’aide d’un nouveau certificat racine CA, XClarity Management Hub perd sa connexion aux appareils gérés et vous devez gérer ces derniers à nouveau. Si vous installez le Lenovo XClarity Management Hub certificat du serveur signé en externe sans modifier le certificat racine CA (par exemple, lorsque le certificat a expiré), il n’est pas nécessaire de gérer à nouveau les appareils.
  • Si de nouveaux périphériques sont ajoutés après la génération CSR et avant l’importation du certificat de serveur signé, ces périphériques doivent être redémarrés afin de recevoir le nouveau certificat de serveur.

À propos de cette tâche

Il est recommandé de toujours utiliser des certificats signés v3.

Le certificat de serveur à signature externe doit être créé à partir de la dernière demande de signature de certificat générée, à l'aide du bouton Générer un fichier CSR.

Le contenu du certificat de serveur à signature externe doit être un groupe de certificats qui contient la chaîne de signature de l’autorité de certification entière, y compris le certificat racine de l’autorité de certification, tous les certificats intermédiaires et le certificat du serveur.

Si le nouveau certificat de serveur n'a pas été signé par un tiers de confiance, la prochaine fois que vous vous connecterez à Lenovo XClarity Management Hub, votre navigateur Web affichera un message de sécurité et une boîte de dialogue vous invitant à accepter le nouveau certificat dans le navigateur. Pour éviter les messages de sécurité, vous pouvez importer un certificat de serveur dans la liste de votre navigateur Web de certificats sécurisés (voir Importation du certificat de serveur dans un navigateur Web pour Lenovo XClarity Management Hub pour les appareils clients Edge).

XClarity Management Hub démarre à l’aide du nouveau certificat du serveur sans interrompre la session en cours. De nouvelles sessions sont établies avec le nouveau certificat. Pour utiliser le nouveau certificat en cours d'utilisation, redémarrez votre navigateur Web.

Important
Lorsque le certificat du serveur est modifié, toutes les sessions utilisateur établies doivent accepter le nouveau certificat en appuyant sur Ctrl+F5 pour actualiser le navigateur Web, puis en rétablissant la connexion à XClarity Management Hub.

Procédure

Pour générer et installer un certificat de serveur à signature externe, procédez comme suit.

  1. Créez une demande de signature de certificat et enregistrez le fichier sur votre système local.
    1. Dans la barre de menus XClarity Management Hub, cliquez sur Sécurité (Icônes Sécurité) > Certificat de serveur pour afficher la carte Générer une demande de signature de certificat.
      Carte Générer une demande de signature de certificat (CSR)
    2. À partir de la carte Générer une demande de signature de certificat, renseignez les zones correspondant à la demande.
      • Code ISO 3166 à deux lettres du pays ou de la région d’origine associée à l’organisation de certificat (par exemple, US pour les États-Unis).
      • Nom complet de l’État ou de la province à associer au certificat (Californie ou Nouveau-Brunswick, par exemple).
      • Nom complet de la ville à associer au certificat (par exemple, San Jose). La valeur ne doit pas comporter plus de 50 caractères.
      • Organisation (société) possédant le certificat. Généralement, il s’agit du nom légal d’une entreprise. Celui-ci doit inclure tous les suffixes, tels que Ltd., Inc. ou Corp (par exemple, ACME International Ltd.). Cette valeur ne doit pas comporter plus de 60 caractères.
      • (En option) Unité organisationnelle à laquelle appartient le certificat (par exemple, ABC Division). Cette valeur ne doit pas comporter plus de 60 caractères.
      • Nom commun du propriétaire du certificat. Il doit s’agit du nom d'hôte du serveur qui utilise le certificat. Cette valeur ne doit pas comporter plus de 63 caractères.
        Remarque
        Cet attribut n’a actuellement aucun impact sur le certificat.
      • (Facultatif) Les autres noms du sujet qui sont personnalisés, supprimés et ajoutés à l’extension X.509 « subjectAltName » lorsque le fichier CSR est généré. Les autres noms du sujet spécifiés sont validés (sur la base du type spécifié) et ajoutés au CSR seulement après la génération du CSR.

        Par défaut, XClarity Management Hub définit automatiquement les autres noms de sujet (SAN) pour la CSR basé sur l’adresse IP et le nom d’hôte qui sont reconnus par les interfaces réseau du système d’exploitation XClarity Management Hub invité.

        Avertissement
        Les autres noms du sujet doivent inclure le nom de domaine complet (FQDN) ou l’adresse IP du concentrateur de gestion. En outre, le nom de sujet doit être défini sur le FQDN du concentrateur de gestion. Vérifiez que ces zones obligatoires sont bien présentes et corrigez-les avant de commencer le processus de CSR afin de vérifier que le certificat résultant est terminé. Les données manquantes du certificat peuvent entraîner des connexions qui ne sont pas fiables lors de la tentative de connexion du concentrateur de gestion à Lenovo XClarity Orchestrator.
        Le nom que vous spécifiez doit être valide pour le type sélectionné.
        • DNS (utilisez le FQDN, par exemple, hostname.labs.company.com)
        • Adresse IP (par exemple, 192.0.2.0)
        • e-mail (par exemple, example@company.com)
  2. Fournissez la CSR à une autorité de certification sécurisée (CA). L'autorité de certification signe la CSR et renvoie un certificat de serveur.
  3. Importez le certificat du serveur à signature externe et le certificat de l’autorité de certification dans XClarity Management Hub, puis remplacez le certificat du serveur actuel.
    1. Sur la carte Générer une demande de signature de certificat (CSR), cliquez sur Importer le certificat pour afficher la boîte de dialogue Importer un certificat.
    2. Copiez et collez le certificat du serveur et le certificat de l’autorité de certification au format PEM. Vous devez fournir la totalité de la chaîne de certificats, en commençant par le certificat du serveur et en finissant par le certificat racine de l’autorité de certification.
    3. Cliquez sur Importer pour stocker le certificat du serveur dans le fichier de clés certifiées XClarity Management Hub.
  4. Acceptez le nouveau certificat en appuyant sur Ctrl + F5 pour actualiser le navigateur, puis en recréant votre connexion à l’interface Web. Cette opération doit être effectuée par toutes les sessions utilisateur établies.