Установка доверенного сертификата сервера XClarity Orchestrator, подписанного сторонним центром сертификации
Можно выбрать использование доверенного сертификата сервера, который был подписан частным или коммерческим центром сертификации (ЦС). Чтобы использовать сертификат сервера, подписанный сторонним центром, создайте запрос подписи сертификата (CSR) и импортируйте полученный сертификат сервера для замены существующего сертификата сервера.
Об этой задаче
Рекомендуется всегда использовать подписанные сертификаты v3.
Сертификат сервера, подписанный сторонним центром, должен быть создан на основе последнего запроса подписи сертификата, созданного с помощью кнопки Создать файл CSR.
Сертификат сервера, подписанный сторонним центром, должен быть набором сертификатов, содержащим всю цепочку подписания ЦС, включая корневой сертификат ЦС, все промежуточные сертификаты и сертификат сервера.
Если новый сертификат сервера не подписан сторонним доверенным центром сертификации, при следующем подключении к XClarity Orchestrator веб-браузер выведет сообщение о безопасности и диалоговое окно с предложением разрешить новый сертификат для браузера. Чтобы избежать появления сообщений о безопасности, можно импортировать сертификат сервера в список доверенных сертификатов веб-браузера (см. раздел Импорт сертификата сервера в веб-браузер).
XClarity Orchestrator начинает использовать новый сертификат сервера, не завершая текущий сеанс. Новые сеансы создаются с использованием нового сертификата. Для использования нового используемого сертификата перезагрузите свой веб-браузер.
Процедура
Чтобы создать и установить сертификат сервера, подписанный сторонним центром, выполните следующие действия.
- Создайте запрос подписи сертификата и сохраните файл в локальной системе.
- В строке меню XClarity Orchestrator нажмите Администрирование (
) > Безопасность и выберите Сертификат сервера на левой панели навигации, чтобы открыть карту Создание запроса подписи сертификата.
- Заполните поля для запроса на карте «Создать запрос CSR».
- Код страны или региона происхождения согласно ISO 3166, состоящий из двух букв, который будет связанный с организацией сертификата (например, US для США).
- Полное название штата или провинции, которое будет связано с сертификатом (например, Калифорния или Нью-Брансуик).
- Полное название города, которое будет связано с сертификатом (например, Сан-Хосе). Длина значения не должна превышать 50 символов.
- Организация (компания), которой будет принадлежать сертификат. Как правило, это официально зарегистрированное название компании. Название должно включать имеющиеся суффиксы, такие как Ltd., Inc. или Corp (например, ACME International Ltd.). Длина этого значения не должна превышать 60 символов.
- (Необязательно) Организационная единица, которой будет принадлежать сертификат (например, ABC Division). Длина этого значения не должна превышать 60 символов.
- Общее имя владельца сертификата. Это должно быть имя хоста сервера, который использует сертификат. Длина этого значения не должна превышать 63 символа.
- (Необязательно) Альтернативные имена субъектов, добавляемые в расширение X.509 subjectAltName при создании CSR.
По умолчанию XClarity Orchestrator автоматически определяет альтернативные имена субъектов (SAN) для CSR на основании IP-адреса и имени хоста, обнаруженных сетевыми интерфейсами гостевой операционной системы XClarity Orchestrator. Значения альтернативных имен субъектов можно настроить, удалить или дополнить. Однако альтернативные имена субъектов должны иметь полное доменное имя (FQDN) или IP-адрес сервера, а имя субъекта должно быть задано равным FQDN.
Указываемое имя должно быть допустимым для выбранного типа.- DNS (используйте FQDN, например hostname.labs.company.com)
- IP-адрес (например, 192.0.2.0)
- Адрес электронной почты (например, example@company.com)
Прим.Все альтернативные имена субъектов, перечисленные в таблице, проверяются, сохраняются и добавляются в CSR только после создания CSR на следующем шаге.
- В строке меню XClarity Orchestrator нажмите Администрирование (