Passa al contenuto principale

Installazione di un certificato server dell'hub di gestione XClarity Management Hub 2.0

È possibile scegliere di utilizzare un certificato del server attendibile firmato da un'autorità di certificazione (CA) privata o commerciale. Per utilizzare un certificato del server con firma esterna, generare una richiesta di firma del certificato (CSR) e importare il certificato server risultante per sostituire il certificato server esistente.

REVISIONATO DA Corneliu P, Stefan J: 4 dicembre 2023

Considerazioni

Attenzione
  • Se si installa un certificato del server con firma esterna utilizzando una nuova autorità di certificazione radice, la connessione dell'hub di gestione ai dispositivi gestiti viene interrotta ed è necessario gestire di nuovo i dispositivi. Se si installa un certificato del server con firma esterna senza modificare l'autorità di certificazione radice (ad esempio, quando il certificato è scaduto), non è necessario gestire nuovamente i dispositivi.

  • Se si aggiungono nuovi dispositivi dopo la generazione della CSR e prima dell'importazione del certificato firmato del server, è necessario riavviare tali dispositivi per ricevere il nuovo certificato del server.

Si consiglia di utilizzare sempre certificati con firma v3.

Il certificato del server con firma esterna deve essere creato tramite la richiesta di firma del certificato generata più di recente per l'hub di gestione.

Il contenuto del certificato del server con firma esterna deve essere un bundle di certificati contenente l'intera catena di firme della CA, come il certificato radice della CA, i certificati intermedi e il certificato del server.

Se il nuovo certificato del server non è stato firmato da una terza parte attendibile, alla successiva connessione a XClarity Management Hub 2.0, nel browser Web, verranno visualizzati un avviso di sicurezza e una finestra di dialogo in cui verrà chiesto di accettare il nuovo certificato nel browser. Per evitare gli avvisi di sicurezza, è possibile importare il certificato del server nell'elenco dei certificati attendibili del browser Web (vedere Importazione del certificato server dell'hub di gestione XClarity Management Hub 2.0 in un browser Web).

Il browser Web viene aggiornato automaticamente per accettare il nuovo certificato.

Installazione di un certificato del server con firma esterna attendibile

Per generare e installare un certificato del server con firma esterna, effettuare le operazioni che seguono.

  1. Creare una richiesta di firma del certificato e salvare il file nel sistema locale.

    1. Fare clic su Certificati dal menu di scelta rapida nella vista Sicurezza.

    2. Nel pannello Genera CSR (Certificate Signing Request), fornire i valori in ogni campo e fare clic su Genera file CSR.

      • L'organizzazione è generalmente il nome giuridicamente riconosciuto dell'azienda proprietaria del certificato. Include suffissi, quali Ltd., Inc. o Corp (ad esempio, ACME International Ltd.).

      • L'unità organizzativa è la divisione dell'azienda proprietaria del certificato (ad esempio, ABC Division).

      • In genere, il nome comune è il nome di dominio completo (FQDN) o l'indirizzo IP del server che utilizza il certificato (ad esempio, www.domainname.com o 192.0.2.0). La lunghezza di questo valore non può superare i 63 caratteri.

      • È possibile personalizzare i nomi alternativi dell'oggetto nell'estensione X.509 "subjectAltName" nella CSR risultante. Se nella CSR vengono forniti uno o più nomi alternativi dell'oggetto, nella CSR vengono memorizzati solo i nomi alternativi dell'oggetto forniti. È possibile fornire nomi alternativi dell'oggetto per i seguenti tipi. Verificare che i nomi specificati siano validi per il tipo selezionato. I nomi alternativi dell'oggetto specificati vengono convalidati (in base al tipo specificato) e aggiunti al CSR solo dopo aver generato una richiesta CSR.

        • DNS (utilizzare il nome host o FQDN, ad esempio, hostname.labs.company.com)
        • Indirizzo IP (ad esempio, 192.0.2.0)
        • e-mail (ad esempio, example@company.com)
        Se non viene fornito alcun nome alternativo dell'oggetto, vengono utilizzati i nomi e il tipo predefiniti dell'hub di gestione.
        • Indirizzo IP. Indirizzo IP attuale dell'hub di gestione corrente

        • Nome DNS. Nome host dell'hub di gestione

        • Nome DNS. FQDN dell'hub di gestione, se viene fornito il nome di dominio. In caso contrario, è vuoto.

        Attenzione
        I nomi alternativi dell'oggetto devono includere il nome host o il nome FQDN (Fully-Qualified Domain Name) e l'indirizzo IP dell'hub di gestione e il nome dell'oggetto deve essere impostato sul nome FQDN dell'hub di gestione. Verificare che questi campi obbligatori siano presenti e corretti prima di iniziare il processo CSR per assicurarsi che il certificato risultante sia completo. Eventuali dati mancanti nel certificato potrebbero avere come conseguenza connessioni non attendibili quando si tenta di connettere l'hub di gestione a Lenovo XClarity Orchestrator.
      Importante
      • Prima di continuare, verificare che il certificato appena generato contenga il nome FQDN e l'indirizzo IP tra i nomi alternativi dell'oggetto.

      • Verificare che il nuovo certificato generato sia configurato per essere utilizzato sia come certificato server sia come certificato client.

  2. Fornire la CSR a un'autorità di certificazione (CA) attendibile. L'autorità di certificazione firma la richiesta CSR e restituisce un certificato del server.

    Attenzione
    Tutti i nomi alternativi dell'oggetto memorizzati nella CSR devono essere utilizzati per firmare la CSR e generare il certificato Web.
  3. Importare il certificato del server con firma esterna e il certificato CA in XClarity Management Hub 2.0 per sostituire il certificato corrente del server.

    1. Nel pannello CSR (Certificate Signing Request), fare clic su Importa certificato per visualizzare la finestra di dialogo Importa certificato.

    2. Inserire il certificato del server con firma esterna in formato PEM. È necessario fornire l'intera catena di certificati, a partire dal certificato del server per finire con il certificato CA radice.

    3. Fare clic su Importa per archiviare il certificato del server nell'archivio attendibile dell'hub di gestione.

      Attenzione
      I nomi alternativi dell'oggetto memorizzati nella CSR sull'hub di gestione devono corrispondere esattamente ai nomi alternativi dell'oggetto memorizzati nel certificato del server importato. In caso di mancata corrispondenza (ad esempio, se l'indirizzo IP da CSR/certificato firmato non è lo stesso di quello dell'hub di gestione), l'importazione e l'installazione del certificato del server riuscirà, ma potrebbe causare connessioni non attendibili (ad esempio, l'impossibilità di accedere all'interfaccia utente).