Passa al contenuto principale

Gestione dei certificati di sicurezza dell'hub di gestione XClarity Management Hub 2.0

Lenovo XClarity Management Hub 2.0 utilizza i certificati SSL per stabilire comunicazioni sicure e attendibili tra l'hub di gestione e i propri dispositivi gestiti, nonché comunicazioni con l'hub di gestione da parte degli utenti o con servizi diversi. Per impostazione predefinita, XClarity Management Hub 2.0 e il portale XClarity Orchestrator utilizzano i certificati generati da XClarity Orchestrator, autofirmati e pubblicati da un'autorità di certificazione interna.

REVISIONATO DA Corneliu P, Stefan J: 4 dicembre 2023

Attenzione
La gestione dei certificati di sicurezza richiede una conoscenza di base dello standard SSL e dei certificati SSL, quali la definizione e la modalità di gestione. Per informazioni generali sui certificati di chiave pubblica, vedere Pagina Web di X.509 su Wikipedia e Pagina Web - Profilo certificato di infrastruttura con chiave pubblica Internet X.509 e CRL (Certificate Revocation List) (RFC5280).

Il certificato del server predefinito, generato in modo univoco in ogni istanza di XClarity Management Hub 2.0 fornisce misure di sicurezza sufficienti per molti ambienti. È possibile delegare la gestione dei certificati a XClarity Management Hub 2.0 oppure avere un ruolo più attivo personalizzando e sostituendo i certificati server. XClarity Management Hub 2.0 fornisce le opzioni per personalizzare i certificati dell'ambiente. Ad esempio, è possibile scegliere di:

  • Generare una nuova coppia di chiavi rigenerando l'autorità di certificazione interna e/o il certificato server finale che utilizzano i valori specifici dell'organizzazione.

  • Generare una richiesta di firma del certificato (CSR) da inviare alle autorità di certificazione preferita per firmare un certificato personalizzato che può quindi essere caricato nell'hub di gestione ed essere utilizzato come certificato end-server per tutti i rispettivi servizi in hosting.

  • Scaricare il certificato del server nel sistema locale in modo da importarlo nell'elenco del browser Web dei certificati attendibili.

XClarity Management Hub 2.0 fornisce diversi servizi che accettano le connessioni SSL/TLS in entrata. Quando un client, come un dispositivo gestito o un browser web, si collega a uno di questi servizi, l'hub di gestione fornisce il rispettivo certificato server per essere identificato dal client che sta tentando di connettersi. Il client deve mantenere un elenco di certificati ritenuti attendibili. Se un certificato server dell'hub di gestione non è nell'elenco, il client si disconnette dall'hub di gestione per evitare lo scambio di informazioni di sicurezza riservate con un'origine non attendibile.

XClarity Management Hub 2.0 funge da client durante la comunicazione con dispositivi gestiti e servizi esterni. In questo caso, il dispositivo gestito o il servizio esterno fornisce il rispettivo certificato server che deve essere verificato dall'hub di gestione. L'hub di gestione mantiene un elenco di certificati ritenuti attendibili. Se il certificato attendibile fornito dal dispositivo gestito o dal servizio esterni non è nell'elenco, l'hub di gestione si disconnette dal dispositivo gestito o dal servizio esterno al fine di evitare lo scambio di eventuali informazioni di sicurezza riservate con un'origine non attendibile.

Certificato server

Durante l'avvio iniziale vengono generati una chiave univoca e un certificato autofirmato. Entrambi vengono utilizzati come autorità di certificazione radice predefinita, gestibile dalla pagina Autorità di certificazione tra le impostazioni di sicurezza di XClarity Management Hub 2.0. Non è necessario rigenerare questo certificato radice, a meno che la chiave non sia stata compromessa o la politica della propria organizzazione non preveda la sostituzione periodica di tutti i certificati (vedere Rigenerazione del certificato server dell'hub di gestione autofirmato XClarity Management Hub 2.0).

Durante la configurazione iniziale viene generata una chiave separata e un certificato server viene creato e sottoscritto dall'autorità di certificazione interna. Questo certificato viene utilizzato come certificato server dell'hub di gestione predefinito. Esso si rigenera automaticamente ogni volta che XClarity Management Hub 2.0 rileva che l'indirizzo IP, il nome host o il nome di dominio è stato modificato per garantire che il certificato contenga gli indirizzi corretti per il server. Può essere personalizzato e generato su richiesta (vedere Rigenerazione del certificato server dell'hub di gestione autofirmato XClarity Management Hub 2.0).

È possibile scegliere di utilizzare un certificato del server con firma esterna invece del certificato server autofirmato predefinito, generando una richiesta di firma del certificato (CSR), firmando una CSR mediante un'autorità di certificazione radice privata o commerciale e importando quindi la catena di certificati completa nell'hub di gestione (vedere Installazione di un certificato server dell'hub di gestione XClarity Management Hub 2.0).

Se si sceglie di utilizzare il certificato del server autofirmato predefinito, è consigliabile importare il certificato del server nel browser Web come autorità radice attendibile per evitare messaggi di errore del certificato nel browser (vedere Importazione del certificato server dell'hub di gestione XClarity Management Hub 2.0 in un browser Web).