Перейти к основному содержимому

Управление сертификатами безопасности Концентратор управления Lenovo XClarity для пограничных клиентских устройств

Концентратор управления Lenovo XClarity использует сертификаты SSL для установления безопасных доверенных соединений между Концентратор управления Lenovo XClarity и его управляемыми устройствами, а также соединений пользователей с Концентратор управления Lenovo XClarity и соединений с различными службами. По умолчанию Концентратор управления Lenovo XClarity и XClarity Orchestrator используют сертификаты, созданные в XClarity Orchestrator, которые являются самозаверяющими и подписаны во внутреннем центре сертификации.

Перед началом работы

Этот раздел предназначен для администраторов, которые имеют общее представление о стандартах SSL и сертификатах SSL и принципах управления ими. Общие сведения о сертификатах с открытым ключом см. в разделах Веб-страница X.509 в Wikipedia и Веб-страница сертификата инфраструктуры открытых ключей X.509 в Интернете и профиля списка отзыва сертификатов (RFC5280).

Об этой задаче

Сертификат сервера по умолчанию, который создается уникально в каждом экземпляре Концентратор управления Lenovo XClarity, обеспечивает достаточный уровень безопасности для многих сред. Можно разрешить Концентратор управления Lenovo XClarity управлять сертификатами за вас или взять на себя более активную роль, настроив или заменив сертификаты серверов. Концентратор управления Lenovo XClarity предоставляет параметры для настройки сертификатов для вашей среды. Доступные варианты:
  • Создать новую пару ключей, воссоздав внутренний центр сертификации и (или) сертификат конечного сервера, использующий определенные для вашей организации значения.
  • Создать запрос подписи сертификата (CSR), который может быть отправлен в центр сертификации на ваш выбор для подписи пользовательского сертификата, который затем можно отравить в Концентратор управления Lenovo XClarity для использования в качестве сертификата конечного сервера для всех размещенных сервисов.
  • Скачать сертификат сервера в свою локальную систему, чтобы иметь возможность импортировать этот сертификат в список доверенных сертификатов веб-браузера.

Концентратор управления Lenovo XClarity предоставляет несколько сервисов, принимающих входящие подключения SSL/TLS. Если какой-либо клиент (например, веб-браузер) подключается к одной из этих служб, Концентратор управления Lenovo XClarity предоставляет ему свой сертификат сервера для идентификации клиентом, который пытается подключиться. В клиенте должен храниться список сертификатов, которым он доверяет. Если сертификат сервера Концентратор управления Lenovo XClarity отсутствует в списке клиента, клиент отключается от Концентратор управления Lenovo XClarity во избежание обмена конфиденциальными данными безопасности с ненадежным источником.

При взаимодействии с управляемыми устройствами и внешними службами Концентратор управления Lenovo XClarity выступает в качестве клиента. В этом случае управляемое устройство или внешняя служба предоставляет Концентратор управления Lenovo XClarity свой сертификат сервера на проверку. Концентратор управления Lenovo XClarity сохраняет список доверенных сертификатов. Если доверенный сертификат, предоставляемый управляемым устройством или внешней службой, в этом списке отсутствует, Концентратор управления Lenovo XClarity отключается от управляемого устройства или внешней службы во избежание обмена конфиденциальными данными безопасности с ненадежным источником.

Следующая категория сертификатов используется службами Концентратор управления Lenovo XClarity, поэтому любой подключающийся клиент предположительно должен доверять этим сертификатам.
  • Сертификат сервера. Во время начальной загрузки создаются уникальный ключ шифрования и самозаверяющий сертификат. Они используются в качестве корневого центра сертификации по умолчанию, которым можно управлять на странице «Центр сертификации» в параметрах безопасности Концентратор управления Lenovo XClarity. Нет необходимости в повторном создании этого корневого сертификата, если ключ шифрования не был скомпрометирован или если организация использует политику периодической замены всех сертификатов (см. Повторное создание самозаверяющего сертификата сервера Концентратор управления).

    Кроме того, во время первоначальной настройки генерируется отдельный ключ и создается сертификат сервера, подписанный внутренним центром сертификации. Этот сертификат используется в качестве сертификата сервера Концентратор управления Lenovo XClarity по умолчанию. Он автоматически заново создается каждый раз, когда Концентратор управления Lenovo XClarity обнаруживает изменение сетевых адресов (IP или DNS), чтобы гарантировать наличие в сертификате правильных адресов для сервера. Его можно настроить и создать по требованию (см. Повторное создание самозаверяющего сертификата сервера Концентратор управления).

    Вместо самозаверяющего сертификата сервера по умолчанию можно использовать сертификат сервера, подписанный сторонним центром. Для этого нужно создать запрос подписи сертификата, подписать этот запрос частным или коммерческим корневым центром сертификации, а затем импортировать всю цепочку сертификатов в Концентратор управления Lenovo XClarity (см. раздел Установка доверенного сертификата сервера, подписанного сторонним центром сертификации, для Концентратор управления для пограничных клиентских устройств).

    Если вы решите использовать самозаверяющий сертификат сервера по умолчанию, рекомендуется импортировать сертификат сервера в веб-браузер как доверенный корневой ЦС, чтобы избежать появления сообщений об ошибке сертификата в браузере (см. раздел Импорт сертификата сервера в веб-браузер).

  • Сертификат развертывания ОС. Чтобы установщик операционной системы мог безопасно подключаться к службе развертывания во время развертывания, служба развертывания операционной системы использует отдельный сертификат. Если ключ шифрования взломан, его можно создать повторно путем перезагрузки Концентратор управления Lenovo XClarity.