Pular para o conteúdo principal

Gerenciando certificados de segurança do XClarity Management Hub 2.0

O Lenovo XClarity Management Hub 2.0 usa certificados SSL para estabelecer uma comunicação segura e confiável entre o hub de gerenciamento e seus dispositivos gerenciados, bem como a comunicação com o hub de gerenciamento por usuários ou com serviços diferentes. Por padrão, o XClarity Management Hub 2.0 e o portal do XClarity Orchestrator usam certificados gerados pelo XClarity Orchestrator que são autoassinados e emitidos por uma autoridade de certificação interna.

REVISADO POR Corneliu P, Stefan J: 4-Dez-2023

Atenção
O gerenciamento de certificados de segurança requer uma compreensão básica do padrão SSL e dos certificados SSL, incluindo o que são e como gerenciá-los. Para obter informações gerais sobre certificados de chave pública, consulte Página da Web X.509 na Wikipédia e Página da Web Certificador de infraestrutura da chave pública X.509 da internet e Perfil da lista de revogação de certificados (CRL) (RFC5280).

O certificado de servidor padrão, produzido exclusivamente em cada instância do XClarity Management Hub 2.0, fornece segurança adequada para muitos ambientes. É possível escolher se você quer deixar o XClarity Management Hub 2.0 gerenciar certificados, ou se você pode ter uma função mais ativa personalizando e substituindo os certificados de servidor. O XClarity Management Hub 2.0 fornece opções para personalizar certificados para seu ambiente. Por exemplo, é possível optar por:

  • Gere um novo par de chaves gerando novamente a autoridade de certificação interna e/ou o certificado do servidor final que usa valores específicos da sua organização.

  • Gere uma Solicitação de Assinatura de Certificado (CSR) que pode ser enviada às autoridades de certificação de sua escolha para assinar um certificado padrão que pode, então, ser transferido por upload para o hub de gerenciamento a ser usado como o certificado de servidor final para todos os seus serviços hospedados.

  • Baixe o certificado de servidor para seu sistema local para poder importá-lo na lista do navegador da Web de certificados confiáveis.

O XClarity Management Hub 2.0 fornece diversos serviços que aceitam conexões SSL/TLS de entrada. Quando um cliente, como um dispositivo gerenciado ou um navegador da Web, se conecta a um desses serviços, o hub de gerenciamento fornece o certificado do servidor a ser identificado pelo cliente que está tentando a conexão. O cliente deve manter uma lista de certificados confiáveis. Se o certificado do servidor do hub de gerenciamento não estiver incluído na lista do cliente, o cliente se desconectará do hub de gerenciamento para evitar a troca de qualquer informação confidencial de segurança com uma origem não confiável.

O XClarity Management Hub 2.0 age como um cliente ao se comunicar com dispositivos gerenciados e serviços externos. Quando isso ocorre, o dispositivo gerenciado ou o serviço externo fornece seu certificado de servidor a ser verificado pelo hub de gerenciamento. O hub de gerenciamento mantém uma lista de certificados confiáveis. Se o certificado confiável fornecido pelo dispositivo gerenciado ou serviço externo não estiver listado, o hub de gerenciamento se desconectará do dispositivo gerenciado ou do serviço externo para evitar a troca de qualquer informação confidencial de segurança com uma origem não confiável.

Certificado do Servidor

Durante a primeira inicialização, uma chave exclusiva e o certificado autoassinado são gerados. Eles são usados como autoridade de certificação raiz padrão, que pode ser gerenciada na página Autoridade de Certificação nas configurações de segurança do XClarity Management Hub 2.0. Não é necessário gerar novamente esse certificado raiz, a menos que a chave tenha sido comprometida ou se sua organização tiver uma política que obrigue a substituição periódica de todos os certificados (consulte Gerando novamente o certificado do servidor autoassinado do XClarity Management Hub 2.0).

Também durante a configuração inicial, uma chave separada é gerada e um certificado do servidor é criado e assinado pela autoridade de certificação interna. Esse certificado é usado como o certificado do servidor padrão do hub de gerenciamento. Ele é gerado de novo automaticamente sempre que o XClarity Management Hub 2.0 detecta que o endereço IP, o nome do host ou o nome do domínio foram alterados para garantir que o certificado contenha os endereços corretos para o servidor. Ele pode ser personalizado e gerado sob demanda (consulte Gerando novamente o certificado do servidor autoassinado do XClarity Management Hub 2.0).

É possível optar por usar um certificado de servidor assinado externamente em vez do certificado de servidor autoassinado padrão gerando uma solicitação de assinatura de certificado (CSR), assinando a CSR usando uma autoridade de certificação raiz comercial ou privada e, em seguida, importando a cadeia de certificados completa para o hub de gerenciamento (consulte Instalando um certificado de servidor assinado externamente confiável do XClarity Management Hub 2.0).

Se você optar por usar o certificado de servidor autoassinado padrão, é recomendável importar o certificado de servidor no seu navegador da Web como uma autoridade raiz confiável para evitar mensagens de erro de certificado no seu navegador (consulte Importando o certificado do servidor do XClarity Management Hub 2.0 para um navegador da Web).