Перейти к основному содержимому

Установка доверенного сертификата сервера, подписанного сторонним центром сертификации, для Концентратор управления для пограничных клиентских устройств

Можно выбрать использование доверенного сертификата сервера, который был подписан частным или коммерческим центром сертификации (ЦС). Чтобы использовать сертификат сервера, подписанный сторонним центром, создайте запрос подписи сертификата (CSR) и импортируйте полученный сертификат сервера для замены существующего сертификата сервера.

Перед началом работы

Внимание
  • При установке сертификата сервера Концентратор управления Lenovo XClarity, подписанного сторонним центром сертификации, с использованием нового корневого ЦС Концентратор управления теряет подключение к управляемым устройствам, и необходимо выполнить повторное управление устройствами. При установке сертификата сервера Концентратор управления Lenovo XClarity, подписанного сторонним центром сертификации, без изменения корневого ЦС (например, если истек срок действия сертификата), нет необходимости выполнять повторное управление устройствами.
  • Если новые устройства добавляются после создания CSR и перед импортом подписанного сертификата сервера, эти устройства необходимо перезапустить для получения нового сертификата сервера.

Об этой задаче

Рекомендуется всегда использовать подписанные сертификаты v3.

Сертификат сервера, подписанный сторонним центром, должен быть создан на основе последнего запроса подписи сертификата, созданного с помощью кнопки Создать файл CSR.

Сертификат сервера, подписанный сторонним центром, должен быть набором сертификатов, содержащим всю цепочку подписания ЦС, включая корневой сертификат ЦС, все промежуточные сертификаты и сертификат сервера.

Если новый сертификат сервера не подписан сторонним доверенным центром сертификации, при следующем подключении к Концентратор управления Lenovo XClarity веб-браузер выведет сообщение о безопасности и диалоговое окно с предложением разрешить новый сертификат для браузера. Чтобы избежать появления сообщений о безопасности, можно импортировать сертификат сервера в список доверенных сертификатов веб-браузера (см. раздел Импорт сертификата сервера в веб-браузер).

Концентратор управления начинает использовать новый сертификат сервера, не завершая текущий сеанс. Новые сеансы создаются с использованием нового сертификата. Для использования нового используемого сертификата перезагрузите свой веб-браузер.

Важное замечание
При изменении сертификата сервера все установленные сеансы пользователей должны принять новый сертификат, обновив браузер с помощью сочетания клавиш Ctrl+F5, а затем снова установить подключение к Концентратор управления.

Процедура

Чтобы создать и установить сертификат сервера, подписанный сторонним центром, выполните следующие действия.

  1. Создайте запрос подписи сертификата и сохраните файл в локальной системе.
    1. В строке меню Концентратор управления нажмите Безопасность (Значок «Безопасность») > Сертификат сервера, чтобы открыть карту Создание запроса подписи сертификата.
      Карта «Создание запроса подписи сертификата (CSR)»
    2. Заполните поля для запроса на карте «Создать запрос CSR».
      • Код страны или региона происхождения согласно ISO 3166, состоящий из двух букв, который будет связанный с организацией сертификата (например, US для США).
      • Полное название штата или провинции, которое будет связано с сертификатом (например, Калифорния или Нью-Брансуик).
      • Полное название города, которое будет связано с сертификатом (например, Сан-Хосе). Длина значения не должна превышать 50 символов.
      • Организация (компания), которой будет принадлежать сертификат. Как правило, это официально зарегистрированное название компании. Название должно включать имеющиеся суффиксы, такие как Ltd., Inc. или Corp (например, ACME International Ltd.). Длина этого значения не должна превышать 60 символов.
      • (Необязательно) Организационная единица, которой будет принадлежать сертификат (например, ABC Division). Длина этого значения не должна превышать 60 символов.
      • Общее имя владельца сертификата. Это должно быть имя хоста сервера, который использует сертификат. Длина этого значения не должна превышать 63 символа.
        Прим.
        В настоящее время этот атрибут не влияет на сертификат.
      • (Необязательно) Альтернативные имена субъектов, настроенные, удаленные или добавленные в расширение X.509 «subjectAltName» при создании CSR. Указанные альтернативные имена субъектов проверяются (на основе указанного типа) и добавляются в файл CSR только после создания CSR.

        По умолчанию Концентратор управления автоматически определяет альтернативные имена субъектов (SAN) для CSR на основании IP-адреса и имени хоста, обнаруженных сетевыми интерфейсами гостевой операционной системы Концентратор управления.

        Внимание
        Альтернативные имена субъектов должны включать полное доменное имя (FQDN) или IP-адрес концентратора управления, а имя субъекта должно быть задано равным FQDN концентратора управления. Перед началом процесса CSR проверьте, что эти обязательные поля присутствуют и содержат правильные значения, чтобы гарантировать, что полученный сертификат будет полным. Отсутствие данных сертификата может привести к установке недоверенных соединений при попытке подключить концентратор управления к Lenovo XClarity Orchestrator.
        Указываемое имя должно быть допустимым для выбранного типа.
        • DNS (используйте FQDN, например hostname.labs.company.com)
        • IP-адрес (например, 192.0.2.0)
        • Адрес электронной почты (например, example@company.com)
  2. Отправьте CSR в доверенный центр сертификации (ЦС). Центр сертификации подпишет CSR и вернет сертификат сервера.
  3. Импортируйте сертификат сервера, подписанный сторонним центром, и сертификат ЦС в Концентратор управления и замените текущий сертификат сервера.
    1. На карте «Создать запрос CSR» нажмите Импортировать сертификат, чтобы открыть диалоговое окно Импорт сертификата.
    2. Скопируйте сертификат сервера и сертификат ЦС в формате PEM. Необходимо указать всю цепочку сертификатов, начиная с сертификата сервера и заканчивая корневым сертификатом ЦС.
    3. Нажмите Импорт, чтобы сохранить сертификат сервера в доверенном хранилище Концентратор управления.
  4. Примите новый сертификат, нажав Ctrl+F5 для обновления браузера, а затем снова установите подключение к веб-интерфейсу. Это необходимо сделать для всех установленных сеансов пользователей.