Installation d’un certificat de serveur fiable et à signature externe du XClarity Management Hub 2.0
Vous pouvez choisir d’utiliser un certificat de serveur sécurisé qui a été signé par une autorité de certification privée ou commerciale (CA). Pour utiliser un certificat de serveur à signature externe, générez une demande de signature de certificat (CSR), puis importez le certificat de serveur qui en résulte afin de remplacer le certificat de serveur existant.
RELECTURE EFFECTUÉE PAR Corneliu P, Stefan J : 4–Déc-2023
Remarques
Si vous installez le certificat de serveur signé en externe à l’aide d’un nouveau certificat racine CA, le concentrateur de gestion perd sa connexion aux appareils gérés et vous devez gérer ces derniers à nouveau. Si vous installez le certificat de serveur signé en externe sans modifier le certificat racine CA (par exemple, lorsque le certificat a expiré), il n’est pas nécessaire de gérer à nouveau les appareils.
Si de nouveaux périphériques sont ajoutés après la génération CSR et avant l’importation du certificat de serveur signé, ces périphériques doivent être redémarrés afin de recevoir le nouveau certificat de serveur.
Il est recommandé de toujours utiliser des certificats signés v3.
Le certificat de serveur à signature externe doit être créé à partir de la dernière demande de signature de certificat générée pour le concentrateur de gestion.
Le contenu du certificat de serveur à signature externe doit être un groupe de certificats qui contient la chaîne de signature de l’autorité de certification entière, y compris le certificat racine de l’autorité de certification, tous les certificats intermédiaires et le certificat du serveur.
Si le nouveau certificat de serveur n'a pas été signé par un tiers de confiance, la prochaine fois que vous vous connecterez à XClarity Management Hub 2.0, votre navigateur Web affichera un message de sécurité et une boîte de dialogue vous invitant à accepter le nouveau certificat dans le navigateur. Pour éviter les messages de sécurité, vous pouvez importer un certificat de serveur dans la liste de votre navigateur Web de certificats sécurisés (voir Importation du certificat de serveur du XClarity Management Hub 2.0 dans un navigateur Web).
Le navigateur Web est actualisé automatiquement afin d’accepter le nouveau certificat.
Installation d’un certificat de serveur sécurisé à signature externe
Pour générer et installer un certificat de serveur à signature externe, procédez comme suit.
Créez une demande de signature de certificat et enregistrez le fichier sur votre système local.
Cliquez sur Certificats dans le menu contextuel de la vue Sécurité.
Dans le panneau Générer une demande de signature de certificat (CSR), indiquez des valeurs dans chaque champ, puis cliquez sur Générer un fichier CSR.
En général, l’organisation est le nom légal de l’entreprise propriétaire du certificat. Comprend tous les suffixes, tels que Ltd., Inc. ou Corp (par exemple, ACME International Ltd.).
L’unité d’organisation est la division de l’entreprise qui possède le certificat (par exemple, la division ABC).
En général, le nom commun est le nom de domaine complet (FQDN) ou l’adresse IP du serveur qui utilise le certificat (par exemple, www.domainname.com ou 192.0.2.0). Cette valeur ne doit pas comporter plus de 63 caractères.
Vous pouvez personnaliser les autres noms du sujet dans l’extension X.509 « subjectAltName » dans la CSR qui en résulte. Si vous indiquez un ou plusieurs autres noms du sujet dans la CSR, seuls les autres noms du sujet que vous avez fournis sont stockés dans la CSR. Vous pouvez indiquer d’autres noms du sujet pour les types suivants. Assurez-vous que les noms indiquez sont valides pour le type sélectionné. Les autres noms du sujet spécifiés sont validés (sur la base du type spécifié) et ajoutés au CSR seulement après la génération du CSR.
- DNS (utilisez le nom d’hôte ou le FQDN, par exemple, hostname.labs.company.com)
- Adresse IP (par exemple, 192.0.2.0)
- e-mail (par exemple, example@company.com)
Si aucun autre nom du sujet n’est indiqué, les noms et le type par défaut du concentrateur de gestion sont utilisés.Adresse IP. Adresse IP actuelle du concentrateur de gestion
Nom DNS. Nom d’hôte du concentrateur de gestion
Nom DNS. FQDN du concentrateur de gestion, si le nom de domaine est indiqué. Sinon, ce champ est vide.
AvertissementLes autres noms du sujet doivent inclure le nom d’hôte ou nom de domaine complet (FQDN) et l’adresse IP du concentrateur de gestion. En outre, le nom de sujet doit être défini sur le nom d’hôte ou le FQDN du concentrateur de gestion. Vérifiez que ces zones obligatoires sont bien présentes et corrigez-les avant de commencer le processus de CSR afin de vérifier que le certificat résultant est terminé. Les données manquantes du certificat peuvent entraîner des connexions qui ne sont pas fiables lors de la tentative de connexion du concentrateur de gestion àLenovo XClarity Orchestrator.
ImportantAvant de continuer, vérifiez que le certificat nouvellement généré contient le FQDN et l’adresse IP dans le cadre des autres noms du sujet.
Assurez-vous que le certificat nouvellement généré est bien configuré pour être utilisé en tant que certificat de serveur et en tant que certificat client.
Fournissez la CSR à une autorité de certification sécurisée (CA). L'autorité de certification signe la CSR et renvoie un certificat de serveur.
AvertissementTous les autres noms du sujet stockés dans la CSR doivent être utilisés pour la signature de la CSR et la génération du certificat Web.Importez le certificat de serveur à signature externe et le certificat CA dans XClarity Management Hub 2.0 pour remplacer le certificat de serveur actuel.
Dans le panneau Demande de signature de certificat (CSR), cliquez sur Importer le certificat pour afficher la boîte de dialogue Importer le certificat.
Insérez le certificat de serveur à signature externe, au format PEM. Vous devez fournir la totalité de la chaîne de certificats, en commençant par le certificat du serveur et en finissant par le certificat racine de l’autorité de certification.
Cliquez sur Importer pour stocker le certificat de serveur dans le fichier de clés certifiées du concentrateur de gestion.
AvertissementLes autres noms du sujet stockés dans la CSR sur le concentrateur de gestion doivent correspondre exactement aux autres noms du sujet stockés dans le certificat de serveur en cours d’importation. En cas de non-correspondance (par exemple, si l’adresse IP depuis la CSR/le certificat signé n’est pas la même que celle du concentrateur de gestion), l’importation et l’installation du certificat de serveur vont aboutir, mais il est possible qu’elles entraînent des connexions non sécurisées (par exemple, l’impossibilité d’accéder à l’interface utilisateur).