Passa al contenuto principale

Utilizzo dei certificati di sicurezza

Lenovo XClarity Orchestrator utilizza i certificati SSL per stabilire comunicazioni sicure e attendibili tra XClarity Orchestrator e i propri strumenti di gestione delle risorse gestite (ad esempio Lenovo XClarity Administrator o Schneider Electric EcoStruxure IT Expert), nonché comunicazioni con XClarity Orchestrator da parte degli utenti o con servizi diversi. Per impostazione predefinita, XClarity Orchestrator e Lenovo XClarity Administrator utilizzano i certificati generati da XClarity Orchestrator, autofirmati e pubblicati da un'autorità di certificazione interna.

Prima di iniziare

Questa sezione è dedicata agli amministratori con nozioni di base sugli standard SSL e sui certificati SSL, che ne conoscono la definizione e sanno come gestirli. Per informazioni generali sui certificati di chiave pubblica, vedere Pagina Web di X.509 su Wikipedia e Pagina Web - Profilo certificato di infrastruttura con chiave pubblica Internet X.509 e CRL (Certificate Revocation List) (RFC5280).

Informazioni su questa attività

Il certificato server predefinito, generato in modo univoco in ogni istanza di XClarity Orchestrator, fornisce misure di sicurezza sufficienti per molti ambienti. È possibile delegare la gestione dei certificati a XClarity Orchestrator oppure avere un ruolo più attivo personalizzando e sostituendo i certificati server. XClarity Orchestrator fornisce le opzioni per personalizzare i certificati dell'ambiente. Ad esempio, è possibile scegliere di:
  • Generare una nuova coppia di chiavi rigenerando l'autorità di certificazione interna e/o il certificato server finale che utilizzano i valori specifici dell'organizzazione.
  • Generare una richiesta di firma del certificato (CSR) da inviare all'autorità di certificazione preferita per firmare un certificato personalizzato che può quindi essere caricato in XClarity Orchestrator ed essere utilizzato come certificato end-server per tutti i rispettivi servizi in hosting.
  • Scaricare il certificato del server nel sistema locale in modo da importarlo nell'elenco del browser Web dei certificati attendibili.

XClarity Orchestrator fornisce diversi servizi che accettano le connessioni SSL/TLS in entrata. Quando un client, come un browser Web, si collega a uno di questi servizi, XClarity Orchestrator fornisce il rispettivo certificato server per essere identificato dal client che sta tentando di connettersi. Il client deve mantenere un elenco di certificati ritenuti attendibili. Se il certificato server di XClarity Orchestrator non è nell'elenco, il client si disconnette da XClarity Orchestrator per evitare lo scambio di informazioni di sicurezza riservate con un'origine non attendibile.

XClarity Orchestrator funge da client durante la comunicazione con gli strumenti di gestione delle risorse e i servizi esterni. In questo caso lo strumento di gestione delle risorse o il servizio esterno sottopone il relativo certificato server a XClarity Orchestrator per la verifica. XClarity Orchestrator gestisce un elenco di certificati ritenuti attendibili. Se il certificato attendibile fornito dallo strumento di gestione delle risorse o dal servizio esterno non è nell'elenco, XClarity Orchestrator si disconnette dal dispositivo gestito o dal servizio esterno per evitare lo scambio di eventuali informazioni di sicurezza riservate con un'origine non attendibile.

La seguente categoria di certificati viene utilizzata dai servizi di XClarity Orchestrator e deve essere considerata attendibile da qualsiasi client che vi si connette.
  • Certificato server. Durante l'avvio iniziale vengono generati una chiave univoca e un certificato autofirmato. Entrambi vengono utilizzati come autorità di certificazione radice predefinita, gestibile dalla pagina Autorità di certificazione tra le impostazioni di sicurezza di XClarity Orchestrator. Non è necessario rigenerare questo certificato radice, a meno che la chiave non sia stata compromessa o la politica della propria organizzazione non preveda la sostituzione periodica di tutti i certificati (vedere Rigenerazione del certificato del XClarity Orchestrator server con firma interna).

    Durante la configurazione iniziale viene generata una chiave separata e un certificato server viene creato e sottoscritto dall'autorità di certificazione interna. Questo certificato viene utilizzato come certificato server predefinito di XClarity Orchestrator. Esso si rigenera automaticamente ogni volta che XClarity Orchestrator rileva che i rispettivi indirizzi di rete (indirizzi DNS o IP) sono stati modificati per garantire che il certificato contenga gli indirizzi corretti per il server. Può essere personalizzato e generato su richiesta (vedere Rigenerazione del certificato del XClarity Orchestrator server con firma interna).

    È possibile scegliere di utilizzare un certificato del server con firma esterna invece del certificato del server autofirmato predefinito, generando una richiesta di firma del certificato (CSR), disponendo di una CSR firmata da un'autorità di certificazione radice privata o commerciale e importando quindi la catena di certificati completa in XClarity Orchestrator (vedere Installazione di un certificato del server XClarity Orchestrator con firma esterna, attendibile).

    Se si sceglie di utilizzare il certificato del server autofirmato predefinito, è consigliabile importare il certificato del server nel browser Web come autorità radice attendibile per evitare messaggi di errore del certificato nel browser (vedere Importazione del certificato server in un browser Web).

La seguente categoria (archivi attendibili) di certificati viene utilizzata dai client di XClarity Orchestrator.
  • Certificati attendibili

    Questo archivio attendibile gestisce i certificati utilizzati per stabilire una connessione sicura alle risorse locali quando XClarity Orchestrator viene utilizzato come client. Esempi di risorse locali sono gli strumenti di gestione delle risorse gestiti, il software locale per l'inoltro di eventi, ecc.

  • Certificati servizi esterni. Questo archivio attendibile gestisce i certificati utilizzati per stabilire una connessione sicura con servizi esterni quando XClarity Orchestrator viene utilizzato come client. Esempi di servizi esterni sono i servizi online del supporto Lenovo, utilizzati per recuperare le informazioni sulla garanzia o creare ticket di assistenza, e il software esterno (come Splunk) ai quali possono essere inoltrati gli eventi. Contiene certificati attendibili preconfigurati, provenienti da autorità di certificazione radice di determinati fornitori da autorità di certificazione comunemente attendibili e note in tutto il mondo (come Digicert e Globalsign).

    Quando si configura XClarity Orchestrator per utilizzare una funzione che richiede una connessione a un altro servizio esterno, fare riferimento alla documentazione per determinare se è necessario aggiungere manualmente un certificato a questo archivio attendibile.

    Nota: i certificati in questo archivio attendibile non sono attendibili quando si stabiliscono connessioni per altri servizi (come LDAP) a meno che anche questi non vengano aggiunti all'archivio attendibile principale dei certificati attendibili. La rimozione di certificati da questo archivio attendibile impedisce il corretto funzionamento di questi servizi.

  • Aggiunta di un certificato attendibile per i servizi esterni
    Questi certificati vengono utilizzati per stabilire relazioni attendibili con i servizi esterni. Ad esempio, i certificati di questo archivio attendibile vengono utilizzati per il recupero delle informazioni sulla garanzia da Lenovo, la creazione di ticket, l'inoltro di eventi a un'applicazione esterna (come Splunk) e l'uso di server LDAP esterni.
  • Aggiunta di un certificato attendibile per i servizi interni
    Questi certificati vengono utilizzati per stabilire le relazioni di attendibilità con le risorse locali quando Lenovo XClarity Orchestrator funge da client per tali risorse, ad esempio gli strumenti di gestione delle risorse, inoltrando eventi al software locale e al server LDAP incorporato. Inoltre, il certificato CA interno e il certificato CA di un certificato del server con firma esterna personalizzato, se installato, sono presenti in questo archivio attendibile per supportare la comunicazione interna di XClarity Orchestrator.
  • Installazione di un certificato del server XClarity Orchestrator con firma esterna, attendibile
    È possibile scegliere di utilizzare un certificato del server attendibile firmato da un'autorità di certificazione (CA) privata o commerciale. Per utilizzare un certificato del server con firma esterna, generare una richiesta di firma del certificato (CSR) e importare il certificato server risultante per sostituire il certificato server esistente.
  • Rigenerazione del certificato del XClarity Orchestrator server con firma interna
    È possibile generare un nuovo certificato del server per sostituire il certificato corrente del server Lenovo XClarity Orchestrator con firma interna o per reintegrare un certificato generato da XClarity Orchestrator qualora XClarity Orchestrator utilizzi un certificato del server con firma esterna personalizzato. Il nuovo certificato del server con firma interna viene utilizzato da XClarity Orchestrator per l'accesso HTTPS.
  • Importazione del certificato server in un browser Web
    È possibile salvare una copia del certificato corrente del server in formato PEM nel sistema locale. È quindi possibile importare il certificato nell'elenco dei certificati attendibili del browser Web o in altre applicazioni (ad esempio Lenovo XClarity Mobile o Lenovo XClarity Integrator) per evitare gli avvisi di sicurezza del browser Web durante l'accesso a Lenovo XClarity Orchestrator.