Перейти к основному содержимому

Установка доверенного сертификата сервера, подписанного сторонним центром сертификации, для XClarity Management Hub для пограничных клиентских устройств

Можно выбрать использование доверенного сертификата сервера, который был подписан частным или коммерческим центром сертификации (ЦС). Чтобы использовать сертификат сервера, подписанный сторонним центром, создайте запрос подписи сертификата (CSR) и импортируйте полученный сертификат сервера для замены существующего сертификата сервера.

Перед началом работы

Внимание
  • При установке сертификата сервера Lenovo XClarity Management Hub, подписанного сторонним центром сертификации, с использованием нового корневого ЦС XClarity Management Hub теряет подключение к управляемым устройствам, и необходимо выполнить повторное управление устройствами. При установке сертификата сервера Lenovo XClarity Management Hub, подписанного сторонним центром сертификации, без изменения корневого ЦС (например, если истек срок действия сертификата), нет необходимости выполнять повторное управление устройствами.
  • Если новые устройства добавляются после создания CSR и перед импортом подписанного сертификата сервера, эти устройства необходимо перезапустить для получения нового сертификата сервера.

Об этой задаче

Рекомендуется всегда использовать подписанные сертификаты v3.

Сертификат сервера, подписанный сторонним центром, должен быть создан на основе последнего запроса подписи сертификата, созданного с помощью кнопки Создать файл CSR.

Сертификат сервера, подписанный сторонним центром, должен быть набором сертификатов, содержащим всю цепочку подписания ЦС, включая корневой сертификат ЦС, все промежуточные сертификаты и сертификат сервера.

Если новый сертификат сервера не подписан сторонним доверенным центром сертификации, при следующем подключении к Lenovo XClarity Management Hub веб-браузер выведет сообщение о безопасности и диалоговое окно с предложением разрешить новый сертификат для браузера. Чтобы избежать появления сообщений о безопасности, можно импортировать сертификат сервера в список доверенных сертификатов веб-браузера (см. раздел Импорт сертификата сервера в веб-браузер для Lenovo XClarity Management Hub для пограничных клиентских устройств).

XClarity Management Hub начинает использовать новый сертификат сервера, не завершая текущий сеанс. Новые сеансы создаются с использованием нового сертификата. Для использования нового используемого сертификата перезагрузите свой веб-браузер.

Важное замечание
При изменении сертификата сервера все установленные сеансы пользователей должны принять новый сертификат, обновив браузер с помощью сочетания клавиш Ctrl+F5, а затем снова установить подключение к XClarity Management Hub.

Процедура

Чтобы создать и установить сертификат сервера, подписанный сторонним центром, выполните следующие действия.

  1. Создайте запрос подписи сертификата и сохраните файл в локальной системе.
    1. В строке меню XClarity Management Hub нажмите Безопасность (Значок «Безопасность») > Сертификат сервера, чтобы открыть карту Создание запроса подписи сертификата.
      Карта «Создать запрос CSR»
    2. Заполните поля для запроса на карте «Создать запрос CSR».
      • Код страны или региона происхождения согласно ISO 3166, состоящий из двух букв, который будет связанный с организацией сертификата (например, US для США).
      • Полное название штата или провинции, которое будет связано с сертификатом (например, Калифорния или Нью-Брансуик).
      • Полное название города, которое будет связано с сертификатом (например, Сан-Хосе). Длина значения не должна превышать 50 символов.
      • Организация (компания), которой будет принадлежать сертификат. Как правило, это официально зарегистрированное название компании. Название должно включать имеющиеся суффиксы, такие как Ltd., Inc. или Corp (например, ACME International Ltd.). Длина этого значения не должна превышать 60 символов.
      • (Необязательно) Организационная единица, которой будет принадлежать сертификат (например, ABC Division). Длина этого значения не должна превышать 60 символов.
      • Общее имя владельца сертификата. Это должно быть имя хоста сервера, который использует сертификат. Длина этого значения не должна превышать 63 символа.
        Прим.
        В настоящее время этот атрибут не влияет на сертификат.
      • (Необязательно) Альтернативные имена субъектов, настроенные, удаленные или добавленные в расширение X.509 «subjectAltName» при создании CSR. Указанные альтернативные имена субъектов проверяются (на основе указанного типа) и добавляются в файл CSR только после создания CSR.

        По умолчанию XClarity Management Hub автоматически определяет альтернативные имена субъектов (SAN) для CSR на основании IP-адреса и имени хоста, обнаруженных сетевыми интерфейсами гостевой операционной системы XClarity Management Hub.

        Внимание
        Альтернативные имена субъектов должны включать полное доменное имя (FQDN) или IP-адрес концентратора управления, а имя субъекта должно быть задано равным FQDN концентратора управления. Перед началом процесса CSR проверьте, что эти обязательные поля присутствуют и содержат правильные значения, чтобы гарантировать, что полученный сертификат будет полным. Отсутствие данных сертификата может привести к установке недоверенных соединений при попытке подключить концентратор управления к Lenovo XClarity Orchestrator.
        Указываемое имя должно быть допустимым для выбранного типа.
        • DNS (используйте FQDN, например hostname.labs.company.com)
        • IP-адрес (например, 192.0.2.0)
        • Адрес электронной почты (например, example@company.com)
  2. Отправьте CSR в доверенный центр сертификации (ЦС). Центр сертификации подпишет CSR и вернет сертификат сервера.
  3. Импортируйте сертификат сервера, подписанный сторонним центром, и сертификат ЦС в XClarity Management Hub и замените текущий сертификат сервера.
    1. На карте «Создать запрос CSR» нажмите Импортировать сертификат, чтобы открыть диалоговое окно Импорт сертификата.
    2. Скопируйте сертификат сервера и сертификат ЦС в формате PEM. Необходимо указать всю цепочку сертификатов, начиная с сертификата сервера и заканчивая корневым сертификатом ЦС.
    3. Нажмите Импорт, чтобы сохранить сертификат сервера в доверенном хранилище XClarity Management Hub.
  4. Примите новый сертификат, нажав Ctrl+F5 для обновления браузера, а затем снова установите подключение к веб-интерфейсу. Это необходимо сделать для всех установленных сеансов пользователей.