Работа с сертификатами безопасности
Lenovo XClarity Orchestrator использует сертификаты SSL, чтобы устанавливать безопасные и доверенные соединения между XClarity Orchestrator и его управляемыми диспетчерами ресурсов (например, Lenovo XClarity Administrator или Schneider Electric EcoStruxure IT Expert), а также для соединения пользователей с XClarity Orchestrator и соединения с различными службами. По умолчанию XClarity Orchestrator и Lenovo XClarity Administrator используют сертификаты, созданные в XClarity Orchestrator, которые являются самозаверяющими и подписаны во внутреннем центре сертификации.
Перед началом работы
Этот раздел предназначен для администраторов, которые имеют общее представление о стандартах SSL и сертификатах SSL и принципах управления ими. Общие сведения о сертификатах с открытым ключом см. в разделах Веб-страница X.509 в Wikipedia и Веб-страница сертификата инфраструктуры открытых ключей X.509 в Интернете и профиля списка отзыва сертификатов (RFC5280).
Об этой задаче
- Создать новую пару ключей, воссоздав внутренний центр сертификации и (или) сертификат конечного сервера, использующий определенные для вашей организации значения.
- Создать запрос подписи сертификата (CSR), который может быть отправлен в центр сертификации на ваш выбор для подписи пользовательского сертификата, который затем можно отравить в XClarity Orchestrator для использования в качестве сертификата конечного сервера для всех размещенных сервисов.
- Скачать сертификат сервера в свою локальную систему, чтобы иметь возможность импортировать этот сертификат в список доверенных сертификатов веб-браузера.
XClarity Orchestrator предоставляет несколько сервисов, принимающих входящие подключения SSL/TLS. Если какой-либо клиент (например, веб-браузер) подключается к одной из этих служб, XClarity Orchestrator предоставляет ему свой сертификат сервера для идентификации клиентом, который пытается подключиться. В клиенте должен храниться список сертификатов, которым он доверяет. Если сертификат сервера XClarity Orchestrator отсутствует в списке клиента, клиент отключается от XClarity Orchestrator во избежание обмена конфиденциальными данными безопасности с ненадежным источником.
При взаимодействии с диспетчерами ресурсов и внешними службами XClarity Orchestrator выступает в качестве клиента. В этом случае диспетчер ресурсов или внешняя служба предоставляет XClarity Orchestrator свой сертификат сервера на проверку. XClarity Orchestrator сохраняет список доверенных сертификатов. Если доверенный сертификат, предоставляемый диспетчером ресурсов или внешней службой, в этом списке отсутствует, XClarity Orchestrator отключается от управляемого устройства или внешней службы во избежание обмена конфиденциальными данными безопасности с ненадежным источником.
- Сертификат сервера. Во время начальной загрузки создаются уникальный ключ шифрования и самозаверяющий сертификат. Они используются в качестве корневого центра сертификации по умолчанию, которым можно управлять на странице «Центр сертификации» в параметрах безопасности XClarity Orchestrator. Нет необходимости в повторном создании этого корневого сертификата, если ключ шифрования не был скомпрометирован или если организация использует политику периодической замены всех сертификатов (см. Повторное создание сертификата сервера XClarity Orchestrator, подписанного внутренним центром сертификации).
Кроме того, во время первоначальной настройки генерируется отдельный ключ и создается сертификат сервера, подписанный внутренним центром сертификации. Этот сертификат используется в качестве сертификата сервера XClarity Orchestrator по умолчанию. Он автоматически заново создается каждый раз, когда XClarity Orchestrator обнаруживает изменение сетевых адресов (IP или DNS), чтобы гарантировать наличие в сертификате правильных адресов для сервера. Его можно настроить и создать по требованию (см. Повторное создание сертификата сервера XClarity Orchestrator, подписанного внутренним центром сертификации).
Вместо самозаверяющего сертификата сервера по умолчанию можно использовать сертификат сервера, подписанный сторонним центром. Для этого нужно создать запрос подписи сертификата, подписать этот запрос частным или коммерческим корневым центром сертификации, а затем импортировать всю цепочку сертификатов в XClarity Orchestrator (см. раздел Установка доверенного сертификата сервера XClarity Orchestrator, подписанного сторонним центром сертификации).
Если вы решите использовать самозаверяющий сертификат сервера по умолчанию, рекомендуется импортировать сертификат сервера в веб-браузер как доверенный корневой ЦС, чтобы избежать появления сообщений об ошибке сертификата в браузере (см. раздел Импорт сертификата сервера в веб-браузер).
- Доверенные сертификаты
Это доверенное хранилище управляет сертификатами, которые служат для создания безопасного подключения к локальным ресурсам, когда XClarity Orchestrator функционирует в качестве клиента. Примеры локальных ресурсов — управляемые диспетчеры ресурсов, локальное программное обеспечение при перенаправлении события и т. д.
- Сертификаты внешних служб. Это доверенное хранилище управляет сертификатами, которые служат для создания безопасного подключения к внешним службам, когда XClarity Orchestrator функционирует в качестве клиента. Примеры внешних служб — онлайн-службы поддержки Lenovo, используемые для получения гарантийной информации или создания заявок на обслуживание, внешнее ПО (например Splunk), на которое можно перенаправлять события. Оно содержит преднастроенные доверенные сертификаты из корневых центров сертификации определенных поставщиков центров сертификации, пользующихся всемирным доверием и известностью, таких как Digicert и Globalsign).
Когда вы настраиваете XClarity Orchestrator для использования функции, требующей подключения к другой внешней службе, обратитесь к документации, чтобы определить, нужно ли добавить сертификат в это доверенное хранилище вручную.
Обратите внимание, что сертификаты в этом доверенном хранилище не являются доверенными при установлении соединений с другими службами (например, LDAP), пока они не будут добавлены в главное доверенное хранилище «Доверенные сертификаты». Удаление сертификатов из этого доверенного хранилища нарушит работу таких служб.