Управление сертификатами безопасности Lenovo XClarity Management Hub для пограничных клиентских устройств
Lenovo XClarity Management Hub использует сертификаты SSL для установления безопасных доверенных соединений между Lenovo XClarity Management Hub и его управляемыми устройствами, а также соединений пользователей с Lenovo XClarity Management Hub и соединений с различными службами. По умолчанию Lenovo XClarity Management Hub и XClarity Orchestrator используют сертификаты, созданные в XClarity Orchestrator, которые являются самозаверяющими и подписаны во внутреннем центре сертификации.
Перед началом работы
Этот раздел предназначен для администраторов, которые имеют общее представление о стандартах SSL и сертификатах SSL и принципах управления ими. Общие сведения о сертификатах с открытым ключом см. в разделах Веб-страница X.509 в Wikipedia и Веб-страница сертификата инфраструктуры открытых ключей X.509 в Интернете и профиля списка отзыва сертификатов (RFC5280).
Об этой задаче
- Создать новую пару ключей, воссоздав внутренний центр сертификации и (или) сертификат конечного сервера, использующий определенные для вашей организации значения.
- Создать запрос подписи сертификата (CSR), который может быть отправлен в центр сертификации на ваш выбор для подписи пользовательского сертификата, который затем можно отравить в Lenovo XClarity Management Hub для использования в качестве сертификата конечного сервера для всех размещенных сервисов.
- Скачать сертификат сервера в свою локальную систему, чтобы иметь возможность импортировать этот сертификат в список доверенных сертификатов веб-браузера.
Lenovo XClarity Management Hub предоставляет несколько сервисов, принимающих входящие подключения SSL/TLS. Если какой-либо клиент (например, веб-браузер) подключается к одной из этих служб, Lenovo XClarity Management Hub предоставляет ему свой сертификат сервера для идентификации клиентом, который пытается подключиться. В клиенте должен храниться список сертификатов, которым он доверяет. Если сертификат сервера Lenovo XClarity Management Hub отсутствует в списке клиента, клиент отключается от Lenovo XClarity Management Hub во избежание обмена конфиденциальными данными безопасности с ненадежным источником.
При взаимодействии с управляемыми устройствами и внешними службами Lenovo XClarity Management Hub выступает в качестве клиента. В этом случае управляемое устройство или внешняя служба предоставляет Lenovo XClarity Management Hub свой сертификат сервера на проверку. Lenovo XClarity Management Hub сохраняет список доверенных сертификатов. Если доверенный сертификат, предоставляемый управляемым устройством или внешней службой, в этом списке отсутствует, Lenovo XClarity Management Hub отключается от управляемого устройства или внешней службы во избежание обмена конфиденциальными данными безопасности с ненадежным источником.
- Сертификат сервера. Во время начальной загрузки создаются уникальный ключ шифрования и самозаверяющий сертификат. Они используются в качестве корневого центра сертификации по умолчанию, которым можно управлять на странице «Центр сертификации» в параметрах безопасности Lenovo XClarity Management Hub. Нет необходимости в повторном создании этого корневого сертификата, если ключ шифрования не был скомпрометирован или если организация использует политику периодической замены всех сертификатов (см. Повторное создание самозаверяющего сертификата сервера XClarity Management Hub для пограничных клиентских устройств).
Кроме того, во время первоначальной настройки генерируется отдельный ключ и создается сертификат сервера, подписанный внутренним центром сертификации. Этот сертификат используется в качестве сертификата сервера Lenovo XClarity Management Hub по умолчанию. Он автоматически заново создается каждый раз, когда Lenovo XClarity Management Hub обнаруживает изменение сетевых адресов (IP или DNS), чтобы гарантировать наличие в сертификате правильных адресов для сервера. Его можно настроить и создать по требованию (см. Повторное создание самозаверяющего сертификата сервера XClarity Management Hub для пограничных клиентских устройств).
Вместо самозаверяющего сертификата сервера по умолчанию можно использовать сертификат сервера, подписанный сторонним центром. Для этого нужно создать запрос подписи сертификата, подписать этот запрос частным или коммерческим корневым центром сертификации, а затем импортировать всю цепочку сертификатов в Lenovo XClarity Management Hub (см. раздел Установка доверенного сертификата сервера, подписанного сторонним центром сертификации, для XClarity Management Hub для пограничных клиентских устройств).
Если вы решите использовать самозаверяющий сертификат сервера по умолчанию, рекомендуется импортировать сертификат сервера в веб-браузер как доверенный корневой ЦС, чтобы избежать появления сообщений об ошибке сертификата в браузере (см. раздел Импорт сертификата сервера в веб-браузер для Lenovo XClarity Management Hub для пограничных клиентских устройств).
- Сертификат развертывания ОС. Чтобы установщик операционной системы мог безопасно подключаться к службе развертывания во время развертывания, служба развертывания операционной системы использует отдельный сертификат. Если ключ шифрования взломан, его можно создать повторно путем перезагрузки Lenovo XClarity Management Hub.