Управление сертификатами безопасности XClarity Management Hub 2.0
Lenovo XClarity Management Hub 2.0 использует сертификаты SSL для установления безопасных доверенных соединений между концентратором управления и его управляемыми устройствами, а также соединений пользователей с концентратором управления и соединений с различными службами. По умолчанию XClarity Management Hub 2.0 и портал XClarity Orchestrator используют сертификаты, созданные в XClarity Orchestrator, которые являются самозаверяющими и подписаны во внутреннем центре сертификации.
ПРОВЕРЕНО Corneliu P, Stefan J: 04.12.2023
Сертификат сервера по умолчанию, который создается уникально в каждом экземпляре XClarity Management Hub 2.0, обеспечивает достаточный уровень безопасности для многих сред. Можно разрешить XClarity Management Hub 2.0 управлять сертификатами за вас или взять на себя более активную роль, настроив или заменив сертификаты серверов. XClarity Management Hub 2.0 предоставляет параметры для настройки сертификатов для вашей среды. Доступные варианты:
Создать новую пару ключей, воссоздав внутренний центр сертификации и (или) сертификат конечного сервера, использующий определенные для вашей организации значения.
Создать запрос подписи сертификата (CSR), который может быть отправлен в центры сертификации на ваш выбор для подписи пользовательского сертификата, который затем можно отравить в концентратор управления для использования в качестве сертификата конечного сервера для всех размещенных служб.
Скачать сертификат сервера в свою локальную систему, чтобы иметь возможность импортировать этот сертификат в список доверенных сертификатов веб-браузера.
XClarity Management Hub 2.0 предоставляет несколько сервисов, принимающих входящие подключения SSL/TLS. Если какой-либо клиент, например веб-браузер, подключается к одной из этих служб, концентратор управления предоставляет ему свой сертификат сервера для идентификации клиентом, который пытается подключиться. В клиенте должен храниться список сертификатов, которым он доверяет. Если сертификат сервера концентратора управления отсутствует в списке клиента, клиент отключается от концентратора сервера во избежание обмена конфиденциальными данными безопасности с ненадежным источником.
При взаимодействии с управляемыми устройствами и внешними службами XClarity Management Hub 2.0 выступает в качестве клиента. В этом случае управляемое устройство или внешняя служба предоставляет сертификат сервера для проверки концентратором управления. В концентраторе управления хранится список сертификатов, которым он доверяет. Если доверенный сертификат, предоставляемый управляемым устройством или внешней службой, в этом списке отсутствует, концентратор управления отключается от управляемого устройства или внешней службы во избежание обмена конфиденциальными данными безопасности с ненадежным источником.
Сертификат сервера
Во время начальной загрузки создаются уникальный ключ шифрования и самозаверяющий сертификат. Они используются в качестве корневого центра сертификации по умолчанию, которым можно управлять на странице «Центр сертификации» в параметрах безопасности XClarity Management Hub 2.0. Нет необходимости в повторном создании этого корневого сертификата, если ключ шифрования не был скомпрометирован или если организация использует политику периодической замены всех сертификатов (см. Повторное создание самозаверяющего сертификата сервера XClarity Management Hub 2.0).
Кроме того, во время первоначальной настройки генерируется отдельный ключ и создается сертификат сервера, подписанный внутренним центром сертификации. Этот сертификат используется в качестве сертификата сервера концентратора управления по умолчанию. Он автоматически заново создается каждый раз, когда XClarity Management Hub 2.0 обнаруживает изменение IP-адреса, имени хоста или доменного имени, чтобы гарантировать наличие в сертификате правильных адресов для сервера. Его можно настроить и создать по требованию (см. Повторное создание самозаверяющего сертификата сервера XClarity Management Hub 2.0).
Вместо самозаверяющего сертификата сервера по умолчанию можно использовать сертификат сервера, подписанный сторонним центром сертификации. Для этого нужно создать запрос подписи сертификата (CSR), подписать этот запрос частным или коммерческим корневым центром сертификации, а затем импортировать всю цепочку сертификатов в концентратор управления (см. раздел Установка доверенного сертификата сервера XClarity Management Hub 2.0, подписанного сторонним центром сертификации).
Если вы решите использовать самозаверяющий сертификат сервера по умолчанию, рекомендуется импортировать сертификат сервера в веб-браузер как доверенный корневой ЦС, чтобы избежать появления сообщений об ошибке сертификата в браузере (см. раздел Импорт сертификата сервера XClarity Management Hub 2.0 в веб-браузер).