Перейти к основному содержимому

Работа с сертификатами безопасности

Lenovo XClarity Orchestrator использует сертификаты SSL, чтобы устанавливать безопасные и доверенные соединения между XClarity Orchestrator и его управляемыми диспетчерами ресурсов (например, Lenovo XClarity Administrator или Schneider Electric EcoStruxure IT Expert), а также для соединения пользователей с XClarity Orchestrator и соединения с различными службами. По умолчанию XClarity Orchestrator и Lenovo XClarity Administrator используют сертификаты, созданные в XClarity Orchestrator, которые являются самозаверяющими и подписаны во внутреннем центре сертификации.

Перед началом работы

Этот раздел предназначен для администраторов, которые имеют общее представление о стандартах SSL и сертификатах SSL и принципах управления ими. Общие сведения о сертификатах с открытым ключом см. в разделах Веб-страница X.509 в Wikipedia и Веб-страница сертификата инфраструктуры открытых ключей X.509 в Интернете и профиля списка отзыва сертификатов (RFC5280).

Об этой задаче

Сертификат сервера по умолчанию, который создается уникально в каждом экземпляре XClarity Orchestrator, обеспечивает достаточный уровень безопасности для многих сред. Можно разрешить XClarity Orchestrator управлять сертификатами за вас или взять на себя более активную роль, настроив или заменив сертификаты серверов. XClarity Orchestrator предоставляет параметры для настройки сертификатов для вашей среды. Доступные варианты:
  • Создать новую пару ключей, воссоздав внутренний центр сертификации и (или) сертификат конечного сервера, использующий определенные для вашей организации значения.
  • Создать запрос подписи сертификата (CSR), который может быть отправлен в центр сертификации на ваш выбор для подписи пользовательского сертификата, который затем можно отравить в XClarity Orchestrator для использования в качестве сертификата конечного сервера для всех размещенных сервисов.
  • Скачать сертификат сервера в свою локальную систему, чтобы иметь возможность импортировать этот сертификат в список доверенных сертификатов веб-браузера.

XClarity Orchestrator предоставляет несколько сервисов, принимающих входящие подключения SSL/TLS. Если какой-либо клиент (например, веб-браузер) подключается к одной из этих служб, XClarity Orchestrator предоставляет ему свой сертификат сервера для идентификации клиентом, который пытается подключиться. В клиенте должен храниться список сертификатов, которым он доверяет. Если сертификат сервера XClarity Orchestrator отсутствует в списке клиента, клиент отключается от XClarity Orchestrator во избежание обмена конфиденциальными данными безопасности с ненадежным источником.

При взаимодействии с диспетчерами ресурсов и внешними службами XClarity Orchestrator выступает в качестве клиента. В этом случае диспетчер ресурсов или внешняя служба предоставляет XClarity Orchestrator свой сертификат сервера на проверку. XClarity Orchestrator сохраняет список доверенных сертификатов. Если доверенный сертификат, предоставляемый диспетчером ресурсов или внешней службой, в этом списке отсутствует, XClarity Orchestrator отключается от управляемого устройства или внешней службы во избежание обмена конфиденциальными данными безопасности с ненадежным источником.

Следующая категория сертификатов используется службами XClarity Orchestrator, поэтому любой подключающийся клиент предположительно должен доверять этим сертификатам.
  • Сертификат сервера. Во время начальной загрузки создаются уникальный ключ шифрования и самозаверяющий сертификат. Они используются в качестве корневого центра сертификации по умолчанию, которым можно управлять на странице «Центр сертификации» в параметрах безопасности XClarity Orchestrator. Нет необходимости в повторном создании этого корневого сертификата, если ключ шифрования не был скомпрометирован или если организация использует политику периодической замены всех сертификатов (см. Повторное создание сертификата сервера XClarity Orchestrator, подписанного внутренним центром сертификации).

    Кроме того, во время первоначальной настройки генерируется отдельный ключ и создается сертификат сервера, подписанный внутренним центром сертификации. Этот сертификат используется в качестве сертификата сервера XClarity Orchestrator по умолчанию. Он автоматически заново создается каждый раз, когда XClarity Orchestrator обнаруживает изменение сетевых адресов (IP или DNS), чтобы гарантировать наличие в сертификате правильных адресов для сервера. Его можно настроить и создать по требованию (см. Повторное создание сертификата сервера XClarity Orchestrator, подписанного внутренним центром сертификации).

    Вместо самозаверяющего сертификата сервера по умолчанию можно использовать сертификат сервера, подписанный сторонним центром. Для этого нужно создать запрос подписи сертификата, подписать этот запрос частным или коммерческим корневым центром сертификации, а затем импортировать всю цепочку сертификатов в XClarity Orchestrator (см. раздел Установка доверенного сертификата сервера XClarity Orchestrator, подписанного сторонним центром сертификации).

    Если вы решите использовать самозаверяющий сертификат сервера по умолчанию, рекомендуется импортировать сертификат сервера в веб-браузер как доверенный корневой ЦС, чтобы избежать появления сообщений об ошибке сертификата в браузере (см. раздел Импорт сертификата сервера в веб-браузер).

Клиенты XClarity Orchestrator используют следующую категорию (доверенные хранилища) сертификатов.
  • Доверенные сертификаты

    Это доверенное хранилище управляет сертификатами, которые служат для создания безопасного подключения к локальным ресурсам, когда XClarity Orchestrator функционирует в качестве клиента. Примеры локальных ресурсов — управляемые диспетчеры ресурсов, локальное программное обеспечение при перенаправлении события и т. д.

  • Сертификаты внешних служб. Это доверенное хранилище управляет сертификатами, которые служат для создания безопасного подключения к внешним службам, когда XClarity Orchestrator функционирует в качестве клиента. Примеры внешних служб — онлайн-службы поддержки Lenovo, используемые для получения гарантийной информации или создания заявок на обслуживание, внешнее ПО (например Splunk), на которое можно перенаправлять события. Оно содержит преднастроенные доверенные сертификаты из корневых центров сертификации определенных поставщиков центров сертификации, пользующихся всемирным доверием и известностью, таких как Digicert и Globalsign).

    Когда вы настраиваете XClarity Orchestrator для использования функции, требующей подключения к другой внешней службе, обратитесь к документации, чтобы определить, нужно ли добавить сертификат в это доверенное хранилище вручную.

    Обратите внимание, что сертификаты в этом доверенном хранилище не являются доверенными при установлении соединений с другими службами (например, LDAP), пока они не будут добавлены в главное доверенное хранилище «Доверенные сертификаты». Удаление сертификатов из этого доверенного хранилища нарушит работу таких служб.

  • Добавление доверенного сертификата для внешних служб
    Эти сертификаты используются для создания доверенных отношений с внешними службами. Например, сертификаты в этом доверенном хранилище используются при получении информации о гарантии от Lenovo, создании заявок, перенаправлении событий во внешнее приложение (такое как Splunk) и использовании внешних серверов LDAP.
  • Добавление доверенного сертификата для внутренних служб
    Эти сертификаты используются для создания доверенных отношений с локальными ресурсами, когда Lenovo XClarity Orchestrator действует как клиент для этих ресурсов, например как диспетчер ресурсов, средство перенаправления событий в локальное программное обеспечение и встроенный сервер LDAP. Кроме того, сертификат, подписанный внутренним ЦС, и настраиваемый сертификат сервера, подписанный сторонним ЦС (если установлен), содержатся в этом доверенном хранилище для обеспечения внутреннего обмена данными в XClarity Orchestrator.
  • Установка доверенного сертификата сервера XClarity Orchestrator, подписанного сторонним центром сертификации
    Можно выбрать использование доверенного сертификата сервера, который был подписан частным или коммерческим центром сертификации (ЦС). Чтобы использовать сертификат сервера, подписанный сторонним центром, создайте запрос подписи сертификата (CSR) и импортируйте полученный сертификат сервера для замены существующего сертификата сервера.
  • Повторное создание сертификата сервера XClarity Orchestrator, подписанного внутренним центром сертификации
    Можно создать новый сертификат сервера для замены текущего сертификата сервера Lenovo XClarity Orchestrator, подписанного внутренним центром сертификации, или восстановить сертификат, созданный XClarity Orchestrator, если XClarity Orchestrator в настоящее время использует настраиваемый сертификат сервера, подписанный сторонним центром сертификации XClarity Orchestrator использует новый сертификат сервера, подписанный внутренним центром сертификации, для доступа через HTTPS.
  • Импорт сертификата сервера в веб-браузер
    Можно сохранить копию текущего сертификата сервера в формате PEM в свою локальную систему. Затем можно импортировать сертификат в список доверенных сертификатов веб-браузера или в другие приложения (например, Lenovo XClarity Mobile или Lenovo XClarity Integrator) чтобы избежать появления предупреждающих сообщений о безопасности в веб-браузере при доступе к Lenovo XClarity Orchestrator.