Pular para o conteúdo principal

Instalando um certificado de servidor assinado externamente confiável para Hub de gerenciamento para dispositivos cliente de borda

É possível usar um certificado do servidor assinado confiável por uma autoridade de certificação (CA) privada ou comercial. Para usar um certificado de servidor assinado externamente, gere uma solicitação de assinatura de certificado (CSR) e, em seguida, importe o certificado do servidor resultante para substituir o existente.

Antes de iniciar

Atenção
  • Se você instalar um certificado de servidor Lenovo XClarity Management Hub assinado externamente usando uma nova CA raiz, o Hub de gerenciamento perderá sua conexão com os dispositivos gerenciados, e você deverá gerenciar novamente os dispositivos. Se você instalar um certificado de servidor Lenovo XClarity Management Hub assinado externamente sem alterar a CA raiz (por exemplo, quando o certificado expirou), não será necessário gerenciar os dispositivos novamente.
  • Se novos dispositivos forem adicionados após a CSR ser gerada e antes que o certificado do servidor assinado seja importado, esses dispositivos deverão ser reiniciados para receber o novo certificado do servidor.

Sobre esta tarefa

Como prática recomendada, sempre use certificados assinados v3.

O certificado de servidor assinado externamente deve ser criado a partir da solicitação de assinatura de certificado que foi gerada mais recentemente usando o botão Gerar Arquivo CSR.

O conteúdo do certificado de servidor assinado externamente deve ser um pacote de certificados que contém a cadeia de assinatura de CA inteira, incluindo o certificado raiz da CA, os certificados intermediários e o certificado do servidor.

Se o novo certificado de servidor não tiver sido assinado por terceiros confiáveis, na próxima vez que você se conectar ao Lenovo XClarity Management Hub, o navegador da Web exibirá uma mensagem de segurança e uma caixa de diálogo solicitando a aceitação do novo certificado no navegador. Para evitar mensagens de segurança, é possível importar o certificado do servidor para a lista de certificados confiáveis do seu navegador da Web (consulte Importando o certificado do servidor em um navegador da Web).

O Hub de gerenciamento começa a usar o novo certificado do servidor sem encerrar a sessão atual. As novas sessões são estabelecidas usando o novo certificado. Para usar o novo certificado em uso, reinicie seu navegador da Web.

Importante
Quando o certificado do servidor for modificado, todas as sessões do usuário estabelecidas deverão aceitar o novo certificado clicando em CTRL + F5 para atualizar o navegador da Web e restabelecer a conexão com o Hub de gerenciamento.

Procedimento

Para gerar e instalar um certificado de servidor assinado externamente, conclua as seguintes etapas.

  1. Crie uma solicitação de assinatura de certificado e salve o arquivo no sistema local.
    1. Na barra de menus do Hub de gerenciamento, clique em Segurança (Ícone Segurança) > Certificado do Servidor para exibir o cartão Gerar solicitação de assinatura de certificado.
      Cartão Gerar Solicitação de Assinatura de Certificado (CSR)
    2. Na placa Gerar Solicitação de Assinatura de Certificado (CSR), preencha os campos da solicitação.
      • Código ISO 3166 de duas letras para o país ou a região de origem associado à organização do certificado (por exemplo, EUA para os Estados Unidos).
      • Nome completo do Estado ou da província a ser associado ao certificado (por exemplo, Califórnia ou New Brunswick).
      • Nome completo da cidade a ser associada ao certificado (por exemplo, San Jose). O tamanho do valor não pode exceder 50 caracteres.
      • Organização (empresa) que deve ser proprietária do certificado. Normalmente, esse é o nome da pessoa jurídica da empresa. Ele deve incluir todos os sufixos, como Ltd., Inc. ou Corp (por exemplo, ACME International Ltd.). O tamanho desse valor não pode exceder 60 caracteres.
      • (Opcional) Unidade organizacional que deve ser proprietária do certificado (por exemplo, Divisão ABC). O tamanho desse valor não pode exceder 60 caracteres.
      • Nome comum do proprietário do certificado. Este deve ser o nome do host do servidor que está usando o certificado. O tamanho desse valor não pode exceder 63 caracteres.
        Nota
        Atualmente, esse atributo não afeta o certificado.
      • (Opcional) Nomes alternativos de assunto que serão personalizados, excluídos e adicionados à extensão X.509 "subjectAltName" quando a CSR for gerada. Os nomes alternativos de assunto especificados são validados (com base no tipo especificado) e adicionados à CSR somente depois que você gera a CSR.

        Por padrão, Hub de gerenciamento define automaticamente os nomes alternativos de assunto para a CSR com base no endereço IP e no nome do host que são descobertos pelas interfaces de rede do sistema operacional convidado Hub de gerenciamento.

        Atenção
        Os nomes alternativos de assunto devem incluir o nome de domínio totalmente qualificado (FQDN) ou o endereço IP do hub de gerenciamento, e o nome do assunto deve ser definido como o FQDN do hub de gerenciamento. Verifique se esses campos obrigatórios estão presentes e corretos antes de iniciar o processo de CSR para assegurar que o certificado resultante seja concluído. Dados de certificado ausentes podem resultar em conexões que não são confiáveis ao tentar conectar o hub de gerenciamento ao Lenovo XClarity Orchestrator.
        O nome especificado deve ser válido para o tipo selecionado.
        • DNS (use o FQDN, por exemplo, hostname.labs.company.com)
        • Endereço IP (por exemplo, 192.0.2.0)
        • email (por exemplo, example@company.com)
  2. Forneça a CSR para uma autoridade de certificação (CA) confiável. A CA assina a CSR e retorna um certificado de servidor.
  3. Importe o certificado de servidor assinado externamente e o certificado da CA Hub de gerenciamento e substitua o certificado do servidor atual.
    1. Na placa Gerar Solicitação de Assinatura de Certificado (CSR), clique em Importar Certificado para exibir a caixa de diálogo Importar Certificado.
    2. Copie e cole o certificado do servidor e o certificado da CA em formato PEM. Você deve fornecer a cadeia de certificados inteira, começando com o certificado do servidor e terminando no certificado da CA raiz.
    3. Clique em Importar para armazenar o certificado do servidor no armazenamento confiável Hub de gerenciamento.
  4. Aceite o novo certificado pressionando CTRL + F5 para atualizar o navegador e, em seguida, restabeleça a conexão com a interface da Web. Isso deve ser feito por todas as sessões do usuário estabelecidas.