Passa al contenuto principale

Installazione di un certificato del server con firma esterna attendibile per Hub di gestione per i dispositivi client Edge

È possibile scegliere di utilizzare un certificato del server attendibile firmato da un'autorità di certificazione (CA) privata o commerciale. Per utilizzare un certificato del server con firma esterna, generare una richiesta di firma del certificato (CSR) e importare il certificato server risultante per sostituire il certificato server esistente.

Prima di iniziare

Attenzione
  • Se si installa un certificato del server Hub di gestione Lenovo XClarity con firma esterna utilizzando una nuova autorità di certificazione radice, la connessione di Hub di gestione ai dispositivi gestiti viene interrotta ed è necessario gestire di nuovo i dispositivi. Se si installa un certificato del server Hub di gestione Lenovo XClarity con firma esterna senza modificare l'autorità di certificazione radice (ad esempio, quando il certificato è scaduto), non è necessario gestire nuovamente i dispositivi.
  • Se si aggiungono nuovi dispositivi dopo la generazione della CSR e prima dell'importazione del certificato firmato del server, è necessario riavviare tali dispositivi per ricevere il nuovo certificato del server.

Informazioni su questa attività

Si consiglia di utilizzare sempre certificati con firma v3.

Il certificato del server con firma esterna deve essere creato tramite la richiesta di firma del certificato generata più di recente utilizzando il pulsante Genera file CSR.

Il contenuto del certificato del server con firma esterna deve essere un bundle di certificati contenente l'intera catena di firme della CA, come il certificato radice della CA, i certificati intermedi e il certificato del server.

Se il nuovo certificato del server non è stato firmato da una terza parte attendibile, alla successiva connessione a Hub di gestione Lenovo XClarity, nel browser Web, verranno visualizzati un avviso di sicurezza e una finestra di dialogo in cui verrà chiesto di accettare il nuovo certificato nel browser. Per evitare gli avvisi di sicurezza, è possibile importare il certificato del server nell'elenco dei certificati attendibili del browser Web (vedere Importazione del certificato server in un browser Web).

Hub di gestione inizia a utilizzare il nuovo certificato del server senza terminare la sessione corrente. Le nuove sessioni verranno stabilite utilizzando il nuovo il certificato. Per utilizzare il nuovo certificato, riavviare il browser Web.

Importante
Quando il certificato del server viene modificato, in tutte le sessioni utente consolidate è necessario accettare il nuovo certificato facendo clic su Ctrl + F5 per aggiornare il browser Web e ristabilire la connessione a Hub di gestione.

Procedura

Per generare e installare un certificato del server con firma esterna, effettuare le operazioni che seguono.

  1. Creare una richiesta di firma del certificato e salvare il file nel sistema locale.
    1. Sulla barra dei menu di Hub di gestione fare clic su Sicurezza (Icona Sicurezza) > Certificato server per visualizzare la scheda Genera CSR (Certificate Signing Request).
      Scheda Genera CSR (Certificate Signing Request)
    2. Nella scheda Genera CSR (Certificate Signing Request) compilare i campi per la richiesta.
      • Codice ISO 3166 di due lettere per il paese o l'area geografica di origine associato all'organizzazione del certificato (ad esempio, US per gli Stati Uniti).
      • Nome completo dello stato o della provincia da associare al certificato (ad esempio, California o New Brunswick).
      • Nome completo della città da associare al certificato (ad esempio, San Jose). La lunghezza del valore non può superare i 50 caratteri.
      • Organizzazione (azienda) che deve possedere il certificato. In genere, questo è il nome giuridicamente riconosciuto di un'azienda. Dovrebbe includere un suffisso, quale Ltd., Inc. o Corp (ad esempio, ACME International Ltd.). La lunghezza di questo valore non può superare i 60 caratteri.
      • (Facoltativo) Unità organizzativa che deve possedere il certificato (ad esempio, divisione ABC). La lunghezza di questo valore non può superare i 60 caratteri.
      • Nome comune del proprietario del certificato. Deve essere il nome host del server che utilizza il certificato. La lunghezza di questo valore non può superare i 63 caratteri.
        Nota
        Attualmente questo attributo non ha alcun effetto sul certificato.
      • Facoltativo: i nomi alternativi dell'oggetto che vengono personalizzati, eliminati e aggiunti all'estensione "subjectAltName" X.509 quando viene generata una richiesta CSR. I nomi alternativi dell'oggetto specificati vengono convalidati (in base al tipo specificato) e aggiunti al CSR solo dopo aver generato una richiesta CSR.

        Per impostazione predefinita, Hub di gestione definisce automaticamente i nomi alternativi dell'oggetto per la richiesta CSR in base all'indirizzo IP e al nome host rilevati dalle interfacce di rete del sistema operativo guest di Hub di gestione.

        Attenzione
        I nomi alternativi dell'oggetto devono includere il nome FQDN (Fully-Qualified Domain Name) o l'indirizzo IP dell'hub di gestione e il nome dell'oggetto deve essere impostato sul nome FQDN dell'hub di gestione. Verificare che questi campi obbligatori siano presenti e corretti prima di iniziare il processo CSR per assicurarsi che il certificato risultante sia completo. Eventuali dati mancanti nel certificato potrebbero avere come conseguenza connessioni non attendibili quando si tenta di connettere l'hub di gestione a Lenovo XClarity Orchestrator.
        Il nome specificato deve essere valido per il tipo selezionato.
        • DNS (utilizzare il nome FQDN, ad esempio, hostname.labs.company.com)
        • Indirizzo IP (ad esempio, 192.0.2.0)
        • e-mail (ad esempio, example@company.com)
  2. Fornire la CSR a un'autorità di certificazione (CA) attendibile. L'autorità di certificazione firma la richiesta CSR e restituisce un certificato del server.
  3. Importare il certificato del server con firma esterna e il certificato CA in Hub di gestione e sostituire il certificato corrente del server.
    1. Nella scheda Genera CSR (Certificate Signing Request) fare clic su Importa certificato per visualizzare la finestra di dialogo Importa certificato.
    2. Copiare e incollare il certificato del server e il certificato CA in formato PEM. È necessario fornire l'intera catena di certificati, a partire dal certificato del server per finire con il certificato CA radice.
    3. Fare clic su Importa per archiviare il certificato del server nell'archivio attendibile di Hub di gestione.
  4. Accettare il nuovo certificato premendo Ctrl + F5 per aggiornare il browser, quindi ristabilire la connessione all'interfaccia Web. Questa operazione deve essere eseguita in tutte le sessioni utente consolidate.