Passa al contenuto principale

Installazione di un certificato del server XClarity Orchestrator con firma esterna, attendibile

È possibile scegliere di utilizzare un certificato del server attendibile firmato da un'autorità di certificazione (CA) privata o commerciale. Per utilizzare un certificato del server con firma esterna, generare una richiesta di firma del certificato (CSR) e importare il certificato server risultante per sostituire il certificato server esistente.

Informazioni su questa attività

Si consiglia di utilizzare sempre certificati con firma v3.

Il certificato del server con firma esterna deve essere creato tramite la richiesta di firma del certificato generata più di recente utilizzando il pulsante Genera file CSR.

Il contenuto del certificato del server con firma esterna deve essere un bundle di certificati contenente l'intera catena di firme della CA, come il certificato radice della CA, i certificati intermedi e il certificato del server.

Se il nuovo certificato del server non è stato firmato da una terza parte attendibile, alla successiva connessione a XClarity Orchestrator, nel browser Web, verranno visualizzati un avviso di sicurezza e una finestra di dialogo in cui verrà chiesto di accettare il nuovo certificato nel browser. Per evitare gli avvisi di sicurezza, è possibile importare il certificato del server nell'elenco dei certificati attendibili del browser Web (vedere Importazione del certificato server in un browser Web).

XClarity Orchestrator inizia a utilizzare il nuovo certificato del server senza terminare la sessione corrente. Le nuove sessioni verranno stabilite utilizzando il nuovo il certificato. Per utilizzare il nuovo certificato, riavviare il browser Web.

Importante
Quando il certificato del server viene modificato, in tutte le sessioni utente consolidate è necessario accettare il nuovo certificato facendo clic su Ctrl + F5 per aggiornare il browser Web e ristabilire la connessione a XClarity Orchestrator.

Procedura

Per generare e installare un certificato del server con firma esterna, effettuare le operazioni che seguono.

  1. Creare una richiesta di firma del certificato e salvare il file nel sistema locale.
    1. Sulla barra dei menu di XClarity Orchestrator fare clic su Amministrazione (Icona Amministrazione) > Sicurezza e selezionare Certificato server nel riquadro di navigazione sinistro per visualizzare la scheda Genera CSR (Certificate Signing Request).
      Scheda Genera CSR (Certificate Signing Request)
    2. Nella scheda Genera CSR (Certificate Signing Request) compilare i campi per la richiesta.
      • Codice ISO 3166 di due lettere per il paese o l'area geografica di origine associato all'organizzazione del certificato (ad esempio, US per gli Stati Uniti).
      • Nome completo dello stato o della provincia da associare al certificato (ad esempio, California o New Brunswick).
      • Nome completo della città da associare al certificato (ad esempio, San Jose). La lunghezza del valore non può superare i 50 caratteri.
      • Organizzazione (azienda) che deve possedere il certificato. In genere, questo è il nome giuridicamente riconosciuto di un'azienda. Dovrebbe includere un suffisso, quale Ltd., Inc. o Corp (ad esempio, ACME International Ltd.). La lunghezza di questo valore non può superare i 60 caratteri.
      • (Facoltativo) Unità organizzativa che deve possedere il certificato (ad esempio, divisione ABC). La lunghezza di questo valore non può superare i 60 caratteri.
      • Nome comune del proprietario del certificato. Deve essere il nome host del server che utilizza il certificato. La lunghezza di questo valore non può superare i 63 caratteri.
      • (Facoltativo) Nomi alternativi dell'oggetto che vengono aggiunti all'estensione "subjectAltName" X.509 quando viene generata una richiesta CSR.

        Per impostazione predefinita, XClarity Orchestrator definisce automaticamente i nomi alternativi dell'oggetto per la richiesta CSR in base all'indirizzo IP e al nome host rilevati dalle interfacce di rete del sistema operativo guest di XClarity Orchestrator. Questi valori dei nomi alternativi dell'oggetto possono essere personalizzati, eliminati o incrementati. Tuttavia, i nomi alternativi dell'oggetto devono disporre del nome FQDN (Fully-Qualified Domain Name) o dell'indirizzo IP del server e il nome dell'oggetto deve essere impostato sul nome FQDN.

        Il nome specificato deve essere valido per il tipo selezionato.
        • DNS (utilizzare il nome FQDN, ad esempio, hostname.labs.company.com)
        • Indirizzo IP (ad esempio, 192.0.2.0)
        • e-mail (ad esempio, example@company.com)
        Nota
        Tutti i nomi alternativi dell'oggetto elencati nella tabella vengono convalidati, salvati e aggiunti alla richiesta CSR solo dopo che la richiesta è stata generata nel passaggio successivo.
  2. Fornire la CSR a un'autorità di certificazione (CA) attendibile. L'autorità di certificazione firma la richiesta CSR e restituisce un certificato del server.
  3. Importare il certificato del server con firma esterna e il certificato CA in XClarity Orchestrator e sostituire il certificato corrente del server.
    1. Nella scheda Genera CSR (Certificate Signing Request) fare clic su Importa certificato per visualizzare la finestra di dialogo Importa certificato.
    2. Copiare e incollare il certificato del server e il certificato CA in formato PEM. È necessario fornire l'intera catena di certificati, a partire dal certificato del server per finire con il certificato CA radice.
    3. Fare clic su Importa per archiviare il certificato del server nell'archivio attendibile di XClarity Orchestrator.
  4. Accettare il nuovo certificato premendo Ctrl + F5 per aggiornare il browser, quindi ristabilire la connessione all'interfaccia Web. Questa operazione deve essere eseguita in tutte le sessioni utente consolidate.