Passa al contenuto principale

Gestione dei certificati di sicurezza di Hub di gestione Lenovo XClarity per i dispositivi client Edge

Hub di gestione Lenovo XClarity utilizza i certificati SSL per stabilire comunicazioni sicure e attendibili tra Hub di gestione Lenovo XClarity e i propri dispositivi gestiti, nonché comunicazioni con Hub di gestione Lenovo XClarity da parte degli utenti o con servizi diversi. Per impostazione predefinita, Hub di gestione Lenovo XClarity e XClarity Orchestrator utilizzano i certificati generati da XClarity Orchestrator, autofirmati e pubblicati da un'autorità di certificazione interna.

Prima di iniziare

Questa sezione è dedicata agli amministratori con nozioni di base sugli standard SSL e sui certificati SSL, che ne conoscono la definizione e sanno come gestirli. Per informazioni generali sui certificati di chiave pubblica, vedere Pagina Web di X.509 su Wikipedia e Pagina Web - Profilo certificato di infrastruttura con chiave pubblica Internet X.509 e CRL (Certificate Revocation List) (RFC5280).

Informazioni su questa attività

Il certificato server predefinito, generato in modo univoco in ogni istanza di Hub di gestione Lenovo XClarity, fornisce misure di sicurezza sufficienti per molti ambienti. È possibile delegare la gestione dei certificati a Hub di gestione Lenovo XClarity oppure avere un ruolo più attivo personalizzando e sostituendo i certificati server. Hub di gestione Lenovo XClarity fornisce le opzioni per personalizzare i certificati dell'ambiente. Ad esempio, è possibile scegliere di:
  • Generare una nuova coppia di chiavi rigenerando l'autorità di certificazione interna e/o il certificato server finale che utilizzano i valori specifici dell'organizzazione.
  • Generare una richiesta di firma del certificato (CSR) da inviare all'autorità di certificazione preferita per firmare un certificato personalizzato che può quindi essere caricato in Hub di gestione Lenovo XClarity ed essere utilizzato come certificato end-server per tutti i rispettivi servizi in hosting.
  • Scaricare il certificato del server nel sistema locale in modo da importarlo nell'elenco del browser Web dei certificati attendibili.

Hub di gestione Lenovo XClarity fornisce diversi servizi che accettano le connessioni SSL/TLS in entrata. Quando un client, come un browser Web, si collega a uno di questi servizi, Hub di gestione Lenovo XClarity fornisce il rispettivo certificato server per essere identificato dal client che sta tentando di connettersi. Il client deve mantenere un elenco di certificati ritenuti attendibili. Se il certificato server di Hub di gestione Lenovo XClarity non è nell'elenco, il client si disconnette da Hub di gestione Lenovo XClarity per evitare lo scambio di informazioni di sicurezza riservate con un'origine non attendibile.

Hub di gestione Lenovo XClarity funge da client durante la comunicazione con dispositivi gestiti e servizi esterni. In questo caso, il dispositivo gestito o il servizio esterno sottopone il relativo certificato server a Hub di gestione Lenovo XClarity per la verifica. Hub di gestione Lenovo XClarity gestisce un elenco di certificati ritenuti attendibili. Se il certificato attendibile fornito dal dispositivo gestito o dal servizio esterni non è nell'elenco, Hub di gestione Lenovo XClarity si disconnette dal dispositivo gestito o dal servizio esterno al fine di evitare lo scambio di eventuali informazioni di sicurezza riservate con un'origine non attendibile.

La seguente categoria di certificati viene utilizzata dai servizi di Hub di gestione Lenovo XClarity e deve essere considerata attendibile da qualsiasi client che vi si connette.
  • Certificato server. Durante l'avvio iniziale vengono generati una chiave univoca e un certificato autofirmato. Entrambi vengono utilizzati come autorità di certificazione radice predefinita, gestibile dalla pagina Autorità di certificazione tra le impostazioni di sicurezza di Hub di gestione Lenovo XClarity. Non è necessario rigenerare questo certificato radice, a meno che la chiave non sia stata compromessa o la politica della propria organizzazione non preveda la sostituzione periodica di tutti i certificati (vedere Rigenerazione del certificato del server Hub di gestione autofirmato).

    Durante la configurazione iniziale viene generata una chiave separata e un certificato server viene creato e sottoscritto dall'autorità di certificazione interna. Questo certificato viene utilizzato come certificato server predefinito di Hub di gestione Lenovo XClarity. Esso si rigenera automaticamente ogni volta che Hub di gestione Lenovo XClarity rileva che i rispettivi indirizzi di rete (indirizzi DNS o IP) sono stati modificati per garantire che il certificato contenga gli indirizzi corretti per il server. Può essere personalizzato e generato su richiesta (vedere Rigenerazione del certificato del server Hub di gestione autofirmato).

    È possibile scegliere di utilizzare un certificato del server con firma esterna invece del certificato server autofirmato predefinito, generando una richiesta di firma del certificato (CSR), disponendo di una CSR firmata da un'autorità di certificazione radice privata o commerciale e importando quindi la catena di certificati completa in Hub di gestione Lenovo XClarity (vedere Installazione di un certificato del server con firma esterna attendibile per Hub di gestione per i dispositivi client Edge).

    Se si sceglie di utilizzare il certificato del server autofirmato predefinito, è consigliabile importare il certificato del server nel browser Web come autorità radice attendibile per evitare messaggi di errore del certificato nel browser (vedere Importazione del certificato server in un browser Web).

  • Certificato di distribuzione del sistema operativo. Un certificato separato viene utilizzato dal servizio di distribuzione del sistema operativo per garantire che il programma di installazione del sistema operativo possa connettersi in modo sicuro al servizio di distribuzione durante il processo di distribuzione. Se la chiave è stata compromessa, è possibile rigenerarla riavviando Hub di gestione Lenovo XClarity.
  • Rigenerazione del certificato del server Hub di gestione autofirmato
    È possibile generare un nuovo certificato del server per sostituire il certificato del server Hub di gestione Lenovo XClarity autofirmato corrente o per reintegrare un certificato generato da Hub di gestione se attualmente Hub di gestione utilizza un certificato personalizzato del server con firma esterna. Il nuovo certificato del server autofirmato viene usato da Hub di gestione per l'accesso HTTPS.
  • Installazione di un certificato del server con firma esterna attendibile per Hub di gestione per i dispositivi client Edge
    È possibile scegliere di utilizzare un certificato del server attendibile firmato da un'autorità di certificazione (CA) privata o commerciale. Per utilizzare un certificato del server con firma esterna, generare una richiesta di firma del certificato (CSR) e importare il certificato server risultante per sostituire il certificato server esistente.
  • Importazione del certificato server in un browser Web
    È possibile salvare una copia del certificato corrente del server in formato PEM nel sistema locale. È quindi possibile importare il certificato nell'elenco dei certificati attendibili del browser Web o in altre applicazioni per evitare gli avvisi di sicurezza del browser Web durante l'accesso a Hub di gestione Lenovo XClarity.