Instalando um certificado de servidor assinado externamente confiável do XClarity Management Hub 2.0
É possível usar um certificado do servidor assinado confiável por uma autoridade de certificação (CA) privada ou comercial. Para usar um certificado de servidor assinado externamente, gere uma solicitação de assinatura de certificado (CSR) e, em seguida, importe o certificado do servidor resultante para substituir o existente.
REVISADO POR Corneliu P, Stefan J: 4-Dez-2023
Considerações
Se você instalar um certificado de servidor assinado externamente usando uma nova CA raiz, o hub de gerenciamento perderá sua conexão com os dispositivos gerenciados, e você deverá gerenciar novamente os dispositivos. Se você instalar um certificado de servidor assinado externamente sem alterar a CA raiz (por exemplo, quando o certificado expirou), não será necessário gerenciar os dispositivos novamente.
Se novos dispositivos forem adicionados após a CSR ser gerada e antes que o certificado do servidor assinado seja importado, esses dispositivos deverão ser reiniciados para receber o novo certificado do servidor.
Como prática recomendada, sempre use certificados assinados v3.
O certificado de servidor assinado externamente deve ser criado a partir da solicitação de assinatura de certificado que foi gerada mais recentemente para o hub de gerenciamento.
O conteúdo do certificado de servidor assinado externamente deve ser um pacote de certificados que contém a cadeia de assinatura de CA inteira, incluindo o certificado raiz da CA, os certificados intermediários e o certificado do servidor.
Se o novo certificado de servidor não tiver sido assinado por terceiros confiáveis, na próxima vez que você se conectar ao XClarity Management Hub 2.0, o navegador da Web exibirá uma mensagem de segurança e uma caixa de diálogo solicitando a aceitação do novo certificado no navegador. Para evitar mensagens de segurança, é possível importar o certificado do servidor para a lista de certificados confiáveis do seu navegador da Web (consulte Importando o certificado do servidor do XClarity Management Hub 2.0 para um navegador da Web).
O navegador da Web é atualizado automaticamente para aceitar o novo certificado.
Instalando um certificado de servidor assinado externamente confiável
Para gerar e instalar um certificado de servidor assinado externamente, conclua as seguintes etapas.
Crie uma solicitação de assinatura de certificado e salve o arquivo no sistema local.
Clique em Certificados no menu de contexto na exibição Segurança.
No painel Gerar Solicitação de Assinatura de Certificado (CSR), forneça valores em cada campo e, em seguida, clique em Gerar Arquivo CSR.
A organização geralmente é o nome legalmente incorporado da empresa que possui o certificado. Inclua os sufixos, como Ltd., Inc. ou Corp (por exemplo, ACME International Ltd.).
A unidade organizacional é a divisão na empresa que possui o certificado (por exemplo, Divisão ABC).
O nome comum é geralmente o nome de domínio totalmente qualificado (FQDN) ou o endereço IP do servidor que usa o certificado (por exemplo, www.domainname.com ou 192.0.2.0). O tamanho desse valor não pode exceder 63 caracteres.
É possível personalizar os nomes alternativos de assunto na extensão X.509 "subjectAltName" na CSR resultante. Se você fornecer um ou mais nomes alternativos de assunto na CSR, apenas os nomes alternativos de assunto fornecidos serão armazenados na CSR. É possível fornecer nomes alternativos de assunto para os tipos a seguir. Garanta que os nomes especificados sejam válidos para o tipo selecionado. Os nomes alternativos de assunto especificados são validados (com base no tipo especificado) e adicionados à CSR somente depois que você gera a CSR.
- DNS (use o nome de host ou FQDN, por exemplo, hostname.labs.company.com)
- Endereço IP (por exemplo, 192.0.2.0)
- email (por exemplo, example@company.com)
Se nenhum nome alternativo de assunto for fornecido, os nomes padrão e o tipo do hub de gerenciamento serão usados.Endereço IP. Endereço IP atual do hub de gerenciamento
Nome DNS. Nome do host do hub de gerenciamento
Nome DNS. FQDN do hub de gerenciamento, se o nome de domínio for fornecido. Caso contrário, permanece vazio.
AtençãoOs nomes alternativos de assunto devem incluir o nome do host ou o nome de domínio totalmente qualificado (FQDN) e o endereço IP do hub de gerenciamento, e o nome do assunto deve ser definido como o nome do host ou o FQDN do hub de gerenciamento. Verifique se esses campos obrigatórios estão presentes e corretos antes de iniciar o processo de CSR para assegurar que o certificado resultante seja concluído. Dados de certificado ausentes podem resultar em conexões que não são confiáveis ao tentar conectar o hub de gerenciamento aoLenovo XClarity Orchestrator.
ImportanteAntes de continuar, verifique se o certificado recém-gerado contém o FQDN e o endereço IP como parte dos nomes alternativos do assunto.
Verifique se o certificado recém-gerado está configurado para ser usado como um certificado do servidor e como um certificado de cliente.
Forneça a CSR para uma autoridade de certificação (CA) confiável. A CA assina a CSR e retorna um certificado de servidor.
AtençãoTodos os nomes alternativos de assunto armazenados na CSR devem ser usados para assinar a CSR e gerar o certificado da Web.Importe o certificado de servidor assinado externamente e o certificado da CA para o XClarity Management Hub 2.0 para substituir o certificado do servidor atual.
No painel Solicitação de Assinatura de Certificado (CSR), clique em Importar certificado para exibir a caixa de diálogo Importar certificado.
Insira o certificado de servidor assinado externamente, no formato PEM. Você deve fornecer a cadeia de certificados inteira, começando com o certificado do servidor e terminando no certificado da CA raiz.
Clique em Importar para armazenar o certificado do servidor no armazenamento confiável do hub de gerenciamento.
AtençãoOs nomes alternativos de assunto armazenados na CSR no hub de gerenciamento devem corresponder exatamente aos nomes alternativos de assunto armazenados no certificado do servidor que está sendo importado. Se houver uma incompatibilidade (por exemplo, se o endereço IP do certificado assinado/CSR não for o mesmo do hub de gerenciamento), a importação e a instalação do certificado do servidor será bem-sucedida, mas poderá resultar em conexões que não são confiáveis (não sendo possível acessar a interface do usuário).