Gestione dei certificati di sicurezza di Lenovo XClarity Management Hub per i dispositivi client Edge
Lenovo XClarity Management Hub utilizza i certificati SSL per stabilire comunicazioni sicure e attendibili tra Lenovo XClarity Management Hub e i propri dispositivi gestiti, nonché comunicazioni con Lenovo XClarity Management Hub da parte degli utenti o con servizi diversi. Per impostazione predefinita, Lenovo XClarity Management Hub e XClarity Orchestrator utilizzano i certificati generati da XClarity Orchestrator, autofirmati e pubblicati da un'autorità di certificazione interna.
Prima di iniziare
Questa sezione è dedicata agli amministratori con nozioni di base sugli standard SSL e sui certificati SSL, che ne conoscono la definizione e sanno come gestirli. Per informazioni generali sui certificati di chiave pubblica, vedere Pagina Web di X.509 su Wikipedia e Pagina Web - Profilo certificato di infrastruttura con chiave pubblica Internet X.509 e CRL (Certificate Revocation List) (RFC5280).
Informazioni su questa attività
- Generare una nuova coppia di chiavi rigenerando l'autorità di certificazione interna e/o il certificato server finale che utilizzano i valori specifici dell'organizzazione.
- Generare una richiesta di firma del certificato (CSR) da inviare all'autorità di certificazione preferita per firmare un certificato personalizzato che può quindi essere caricato in Lenovo XClarity Management Hub ed essere utilizzato come certificato end-server per tutti i rispettivi servizi in hosting.
- Scaricare il certificato del server nel sistema locale in modo da importarlo nell'elenco del browser Web dei certificati attendibili.
Lenovo XClarity Management Hub fornisce diversi servizi che accettano le connessioni SSL/TLS in entrata. Quando un client, come un browser Web, si collega a uno di questi servizi, Lenovo XClarity Management Hub fornisce il rispettivo certificato server per essere identificato dal client che sta tentando di connettersi. Il client deve mantenere un elenco di certificati ritenuti attendibili. Se il certificato server di Lenovo XClarity Management Hub non è nell'elenco, il client si disconnette da Lenovo XClarity Management Hub per evitare lo scambio di informazioni di sicurezza riservate con un'origine non attendibile.
Lenovo XClarity Management Hub funge da client durante la comunicazione con dispositivi gestiti e servizi esterni. In questo caso, il dispositivo gestito o il servizio esterno sottopone il relativo certificato server a Lenovo XClarity Management Hub per la verifica. Lenovo XClarity Management Hub gestisce un elenco di certificati ritenuti attendibili. Se il certificato attendibile fornito dal dispositivo gestito o dal servizio esterni non è nell'elenco, Lenovo XClarity Management Hub si disconnette dal dispositivo gestito o dal servizio esterno al fine di evitare lo scambio di eventuali informazioni di sicurezza riservate con un'origine non attendibile.
- Certificato server. Durante l'avvio iniziale vengono generati una chiave univoca e un certificato autofirmato. Entrambi vengono utilizzati come autorità di certificazione radice predefinita, gestibile dalla pagina Autorità di certificazione tra le impostazioni di sicurezza di Lenovo XClarity Management Hub. Non è necessario rigenerare questo certificato radice, a meno che la chiave non sia stata compromessa o la politica della propria organizzazione non preveda la sostituzione periodica di tutti i certificati (vedere Rigenerazione del certificato server autofirmato di XClarity Management Hub per i dispositivi client Edge).
Durante la configurazione iniziale viene generata una chiave separata e un certificato server viene creato e sottoscritto dall'autorità di certificazione interna. Questo certificato viene utilizzato come certificato server predefinito di Lenovo XClarity Management Hub. Esso si rigenera automaticamente ogni volta che Lenovo XClarity Management Hub rileva che i rispettivi indirizzi di rete (indirizzi DNS o IP) sono stati modificati per garantire che il certificato contenga gli indirizzi corretti per il server. Può essere personalizzato e generato su richiesta (vedere Rigenerazione del certificato server autofirmato di XClarity Management Hub per i dispositivi client Edge).
È possibile scegliere di utilizzare un certificato del server con firma esterna invece del certificato server autofirmato predefinito, generando una richiesta di firma del certificato (CSR), disponendo di una CSR firmata da un'autorità di certificazione radice privata o commerciale e importando quindi la catena di certificati completa in Lenovo XClarity Management Hub (vedere Installazione di un certificato del server con firma esterna attendibile per XClarity Management Hub per i dispositivi client Edge).
Se si sceglie di utilizzare il certificato del server autofirmato predefinito, è consigliabile importare il certificato del server nel browser Web come autorità radice attendibile per evitare messaggi di errore del certificato nel browser (vedere Importazione del certificato del server in un browser Web per Lenovo XClarity Management Hub per i dispositivi client Edge).
- Certificato di distribuzione del sistema operativo. Un certificato separato viene utilizzato dal servizio di distribuzione del sistema operativo per garantire che il programma di installazione del sistema operativo possa connettersi in modo sicuro al servizio di distribuzione durante il processo di distribuzione. Se la chiave è stata compromessa, è possibile rigenerarla riavviando Lenovo XClarity Management Hub.