Aller au contenu principal

Gestion des certificats de sécurité du XClarity Management Hub 2.0

Lenovo XClarity Management Hub 2.0 utilise des certificats SSL pour établir des communications sécurisées et approuvées entre le concentrateur de gestion et ses appareils gérés, ainsi que des communications avec le concentrateur de gestion par les utilisateurs ou avec différents services. Par défaut, XClarity Management Hub 2.0 et le portail XClarity Orchestrator utilisent des certificats générés par XClarity Orchestrator qui sont autosignés et émis par une autorité de certification interne.

RELECTURE EFFECTUÉE PAR Corneliu P, Stefan J : 4–Déc-2023

Avertissement
La gestion des certificats de sécurité nécessite une compréhension de base des certificats SSL standards et SSL, y compris ce qu’ils sont et la manière de les gérer. Pour plus d’informations sur les certificats de clé publique, voir Page Web X.509 dans Wikipedia et Page Web Certificat d’infrastructure de clé publique Internet X.509 et profil de liste de révocation de certificat (CRL) (RFC5280).

Le certificat de serveur par défaut, qui est généré de manière unique dans chaque instance de XClarity Management Hub 2.0 fournit une sécurité suffisante pour de nombreux environnements. Vous pouvez choisir de laisser XClarity Management Hub 2.0 gérer les certificats pour vous, ou vous pouvez jouer un rôle plus actif en personnalisant ou en remplaçant les certificats du serveur. XClarity Management Hub 2.0 inclut des options pour la personnalisation des certificats pour votre environnement. Par exemple, vous pouvez choisir de :

  • Générez une nouvelle paire de clés en regénérant l’autorité de certification interne et/ou le certificat du serveur final qui utilise des valeurs spécifiques à votre organisation.

  • Générez une demande de signature de certificat (CSR) qui peut être envoyée aux autorités de certification de votre choix pour signer un certificat personnalisé qui peut ensuite être téléchargé vers le concentrateur de gestion en vue d’une utilisation comme certificat de serveur final pour tous ses services hébergés.

  • Téléchargez le certificat serveur sur votre système local pour pouvoir importer ce certificat dans la liste de certificats sécurisés de votre navigateur Web.

XClarity Management Hub 2.0 fournit plusieurs services qui acceptent les connexions SSL/TLS entrantes. Lorsqu’un client, par exemple, un navigateur Web, se connecte à l’un de ces services, le concentrateur de gestion fournit son certificat de serveur afin d’être identifié par le client lors des tentatives de connexion. Le client doit gérer une liste de certificats approuvés. Si le certificat de serveur du concentrateur de gestion n’est pas inclus dans la liste du client, ce dernier se déconnecte du concentrateur de gestion afin d’éviter d’échanger des informations de sécurité sensibles avec une source non sécurisée.

XClarity Management Hub 2.0 fait office de client lors de la communication avec des appareils gérés et des services externes. Dans ce cas, l’appareil géré ou le service externe fournit le certificat de serveur qui doit être vérifié par le concentrateur de gestion. Le concentrateur de gestion conserve une liste des certificats approuvés. Si le certificat sécurisé fourni par l’appareil géré ou le service externe n’est pas répertorié, le concentrateur de gestion se déconnecte de l’appareil géré ou du service externe pour éviter d’échanger toutes les informations de sécurité sensibles avec une source non sécurisée.

Certificat de serveur

Lors de l’amorçage initiale, une clé unique et un certificat auto-signé sont générés. Ils sont utilisés en tant qu’autorité de certification racine par défaut, qui peut être gérée sur la page de l’autorité de certification dans les paramètres de sécurité de XClarity Management Hub 2.0. Il n’est pas nécessaire de regénérer ce certificat racine, sauf si la clé a été compromise ou si votre organisation dispose d’une règle indiquant que tous les certificats doivent être remplacés régulièrement (voir Régénération du certificat de serveur autosigné du XClarity Management Hub 2.0).

De même, lors de la configuration initiale, une clé distincte est générée et un certificat de serveur est créé, puis signé par l’autorité de certification interne. Ce certificat est utilisé en tant que certificat de serveur du concentrateur de gestion par défaut. Il se regénère automatiquement à chaque fois que XClarity Management Hub 2.0 détecte que son adresse IP, son nom d’hôte ou son nom de domaine ont été modifiés afin de garantir que le certificat contient les adresses exactes pour le serveur. Il peut être personnalisé et généré à la demande (voir Régénération du certificat de serveur autosigné du XClarity Management Hub 2.0).

Vous pouvez choisir d’utiliser un certificat de serveur à signature externe au lieu du certificat de serveur autosigné par défaut en générant une demande de signature de certificat (CSR), en signant la CSR à l’aide d’une autorité de certification racine privée ou commerciale, puis en important l’intégralité de la chaîne de certificats dans le concentrateur de gestion (voir Installation d’un certificat de serveur fiable et à signature externe du XClarity Management Hub 2.0).

Si vous décidez d’utiliser le certificat de serveur auto-signé par défaut, il est recommandé d’importer le certificat de serveur dans votre navigateur Web en tant qu’autorité racine sécurisée afin d’éviter les messages d’erreur de certificat dans votre navigateur (voir Importation du certificat de serveur du XClarity Management Hub 2.0 dans un navigateur Web).