Pular para o conteúdo principal

Trabalhando com certificados de segurança

O Lenovo XClarity Orchestrator usa certificados SSL para estabelecer uma comunicação segura e confiável entre o XClarity Orchestrator e seus gerenciadores de recursos gerenciados (como o Lenovo XClarity Administrator ou Schneider Electric EcoStruxure IT Expert), bem como a comunicação com o XClarity Orchestrator por usuários ou com serviços diferentes. Por padrão, o XClarity Orchestrator e o Lenovo XClarity Administrator usam certificados gerados pelo XClarity Orchestrator que são autoassinados e emitidos por uma autoridade de certificação interna.

Antes de iniciar

Esta seção é destinada a administradores que têm um entendimento básico do padrão SSL e dos certificados SSL, incluindo o que são e como gerenciá-los. Para obter informações gerais sobre certificados de chave pública, consulte Página da Web X.509 na Wikipédia e Página da Web Certificador de infraestrutura da chave pública X.509 da internet e Perfil da lista de revogação de certificados (CRL) (RFC5280).

Sobre esta tarefa

O certificado de servidor padrão, produzido exclusivamente em cada instância do XClarity Orchestrator, fornece segurança adequada para muitos ambientes. É possível escolher se você quer deixar o XClarity Orchestrator gerenciar certificados, ou se você pode ter uma função mais ativa personalizando e substituindo os certificados de servidor. O XClarity Orchestrator fornece opções para personalizar certificados para seu ambiente. Por exemplo, é possível optar por:
  • Gere um novo par de chaves gerando novamente a autoridade de certificação interna e/ou o certificado do servidor final que usa valores específicos da sua organização.
  • Gere uma Solicitação de Assinatura de Certificado (CSR) que pode ser enviada à autoridade de certificação de sua escolha para assinar um certificado padrão que pode, então, ser transferido por upload para o XClarity Orchestrator a ser usado como o certificado de servidor final para todos os seus serviços hospedados.
  • Baixe o certificado de servidor para seu sistema local para poder importá-lo na lista do navegador da Web de certificados confiáveis.

O XClarity Orchestrator fornece diversos serviços que aceitam conexões SSL/TLS de entrada. Quando um cliente, como um navegador da Web, se conecta a um desses serviços, o XClarity Orchestrator fornece o certificado do servidor a ser identificado pelo cliente que está tentando a conexão. O cliente deve manter uma lista de certificados confiáveis. Se o certificado do servidor do XClarity Orchestrator não estiver incluído na lista do cliente, o cliente se desconectará do XClarity Orchestrator para evitar a troca de qualquer informação confidencial de segurança com uma origem não confiável.

O XClarity Orchestrator age como um cliente ao se comunicar com os gerenciadores de recursos e serviços externos. Quando isso ocorre, o gerenciador de recursos ou o serviço externo fornece seu certificado de servidor a ser verificado pelo XClarity Orchestrator. O XClarity Orchestrator mantém uma lista de certificados em que ele confia. Se o certificado confiável fornecido pelo gerenciador de recursos ou serviço externo não estiver listado, o XClarity Orchestrator se desconectará do dispositivo gerenciado ou do serviço externo para evitar a troca de qualquer informação confidencial de segurança com uma origem não confiável.

A categoria de certificados a seguir é usada pelos serviços XClarity Orchestrator e deve ser confiável por qualquer cliente que se conecte a ele.
  • Certificado do Servidor. Durante a primeira inicialização, uma chave exclusiva e o certificado autoassinado são gerados. Eles são usados como autoridade de certificação raiz padrão, que pode ser gerenciada na página Autoridade de Certificação nas configurações de segurança do XClarity Orchestrator. Não é necessário gerar novamente esse certificado raiz, a menos que a chave tenha sido comprometida ou se sua organização tiver uma política que obrigue a substituição periódica de todos os certificados (consulte Gerando novamente o certificado de servidor assinado internamente do XClarity Orchestrator).

    Também durante a configuração inicial, uma chave separada é gerada e um certificado do servidor é criado e assinado pela autoridade de certificação interna. Esse certificado é usado como o certificado do servidor padrão do XClarity Orchestrator. Ele é gerado de novo automaticamente sempre que o XClarity Orchestrator detecta que seus endereços de rede (endereços IP ou DNS) foram alterados para garantir que o certificado contenha os endereços corretos para o servidor. Ele pode ser personalizado e gerado sob demanda (consulte Gerando novamente o certificado de servidor assinado internamente do XClarity Orchestrator).

    É possível optar por usar um certificado de servidor assinado externamente em vez do certificado de servidor autoassinado padrão gerando uma solicitação de assinatura de certificado (CSR), solicitando que a CSR seja assinada por uma Autoridade de Certificação Raiz privada ou comercial e, em seguida, importando a cadeia de certificados completa para o XClarity Orchestrator (consulte Instalando um certificado de servidor assinado externamente confiável XClarity Orchestrator).

    Se você optar por usar o certificado de servidor autoassinado padrão, é recomendável importar o certificado de servidor no seu navegador da Web como uma autoridade raiz confiável para evitar mensagens de erro de certificado no seu navegador (consulte Importando o certificado do servidor em um navegador da Web).

A categoria a seguir (armazenamentos confiáveis) de certificados é usada pelos clientes do XClarity Orchestrator.
  • Certificados confiáveis

    Esse armazenamento confiável gerencia certificados usados para estabelecer uma conexão segura com os recursos locais quando o XClarity Orchestrator age como cliente. Exemplos de recursos locais são gerenciadores de recursos gerenciados, software local ao encaminhar um evento etc.

  • Certificados de serviço externos. Esse armazenamento confiável gerencia certificados usados para estabelecer uma conexão segura com serviços externos quando o XClarity Orchestrator age como cliente. Exemplos de serviços externos são serviços online do Suporte Lenovo que são usados para recuperar informações de garantia ou criar tíquetes de serviço, software externo (como Splunk) para o qual eventos podem ser encaminhados. Ele contém certificados confiáveis pré-configurados das Autoridades de Certificação Raiz de determinados provedores de autoridade de certificação geralmente confiáveis e conhecidos mundialmente, como o Digicert e o Globalsign).

    Ao configurar o XClarity Orchestrator para usar um recurso que exija uma conexão com outro serviço externo, consulte a documentação para determinar se você precisa adicionar manualmente um certificado a esse armazenamento confiável.

    Os certificados nesse armazenamento confiável não são confiáveis ao estabelecer conexões para outros serviços (como LDAP), a menos que você também os adicione ao armazenamento confiável principal de certificados confiáveis. Remover certificados desse armazenamento confiável impede o funcionamento desses serviços.

  • Adicionando um certificado confiável para serviços externos
    Esses certificados são usados para estabelecer relações de confiança com serviços externos. Por exemplo, os certificados neste armazenamento confiável são usados ao recuperar informações de garantia da Lenovo, criar tíquetes, encaminhar eventos para um aplicativo externo (como Splunk) e usar servidores LDAP externos.
  • Adicionando um certificado confiável para serviços internos
    Esses certificados são usados para estabelecer relações de confiança com recursos locais quando o Lenovo XClarity Orchestrator atua como um cliente para esses recursos, como gerenciadores de recursos, encaminhamento de eventos para software local e o servidor LDAP integrado. Além disso, o certificado da CA interno e o certificado da CA de um certificado de servidor assinado externamente personalizado (se estiver instalado) estão presentes nesse armazenamento confiável para dar suporte à comunicação interna do XClarity Orchestrator.
  • Instalando um certificado de servidor assinado externamente confiável XClarity Orchestrator
    É possível usar um certificado do servidor assinado confiável por uma autoridade de certificação (CA) privada ou comercial. Para usar um certificado de servidor assinado externamente, gere uma solicitação de assinatura de certificado (CSR) e, em seguida, importe o certificado do servidor resultante para substituir o existente.
  • Gerando novamente o certificado de servidor assinado internamente do XClarity Orchestrator
    É possível gerar um novo certificado do servidor para substituir o certificado assinado internamente atual do Lenovo XClarity Orchestrator ou para restabelecer um certificado gerado pelo XClarity Orchestrator se o XClarity Orchestrator usar um certificado de servidor assinado externamente personalizado. O novo certificado de servidor assinado internamente é usado pelo XClarity Orchestratorpara acesso HTTPS.
  • Importando o certificado do servidor em um navegador da Web
    É possível salvar uma cópia do certificado do servidor atual, em formato PEM, para seu sistema local. Em seguida, você pode importar o certificado para a lista de certificados confiáveis do seu navegador da Web ou para outros aplicativos (como Lenovo XClarity Mobile ou Lenovo XClarity Integrator) a fim de evitar mensagens de aviso de segurança do navegador da Web ao acessar o Lenovo XClarity Orchestrator.