Перейти к основному содержимому

Установка доверенного сертификата сервера XClarity Management Hub 2.0, подписанного сторонним центром сертификации

Можно выбрать использование доверенного сертификата сервера, который был подписан частным или коммерческим центром сертификации (ЦС). Чтобы использовать сертификат сервера, подписанный сторонним центром, создайте запрос подписи сертификата (CSR) и импортируйте полученный сертификат сервера для замены существующего сертификата сервера.

ПРОВЕРЕНО Corneliu P, Stefan J: 04.12.2023

Замечания

Внимание
  • При установке сертификата сервера, подписанного сторонним центром сертификации, с использованием нового корневого ЦС концентратор управления теряет подключение к управляемым устройствам, и необходимо выполнить повторное управление устройствами. При установке сертификата сервера, подписанного сторонним центром сертификации, без изменения корневого ЦС (например, если истек срок действия сертификата), нет необходимости выполнять повторное управление устройствами.

  • Если новые устройства добавляются после создания CSR и перед импортом подписанного сертификата сервера, эти устройства необходимо перезапустить для получения нового сертификата сервера.

Рекомендуется всегда использовать подписанные сертификаты v3.

Сертификат сервера, подписанный сторонним центром сертификации, должен быть создан на основе последнего запроса подписи сертификата, созданного для концентратора управления.

Сертификат сервера, подписанный сторонним центром, должен быть набором сертификатов, содержащим всю цепочку подписания ЦС, включая корневой сертификат ЦС, все промежуточные сертификаты и сертификат сервера.

Если новый сертификат сервера не подписан сторонним доверенным центром сертификации, при следующем подключении к XClarity Management Hub 2.0 веб-браузер выведет сообщение о безопасности и диалоговое окно с предложением разрешить новый сертификат для браузера. Чтобы избежать появления сообщений о безопасности, можно импортировать сертификат сервера в список доверенных сертификатов веб-браузера (см. раздел Импорт сертификата сервера XClarity Management Hub 2.0 в веб-браузер).

Чтобы принять новый сертификат, веб-браузер обновится автоматически.

Установка доверенного сертификата сервера, подписанного сторонним центром сертификации

Чтобы создать и установить сертификат сервера, подписанный сторонним центром, выполните следующие действия.

  1. Создайте запрос подписи сертификата и сохраните файл в локальной системе.

    1. Нажмите Сертификаты в контекстном меню в представлении Безопасность.

    2. На панели Создать запрос CSR предоставьте значения в каждом поле, затем нажмите Создать файл CSR.

      • Как правило, организация является официально зарегистрированным названием компании, которая владеет сертификатом. Включает суффиксы, такие как Ltd., Inc. или Corp (например, ACME International Ltd.).

      • Организационная единица — это подразделение в компании, которая владеет сертификатом (например, подразделение ABC).

      • Как правило, общее имя является полным доменным именем (FQDN) или IP-адресом сервера, использующего сертификат (например, www.domainname.com или 192.0.2.0). Длина этого значения не должна превышать 63 символа.

      • В полученном CSR можно настроить альтернативные имена субъектов в расширении X.509 «subjectAltName». Если вы предоставляете одно или несколько альтернативных имен субъектов в CSR, в CSR сохраняются только предоставленные вами альтернативные имена субъектов. Можно предоставить альтернативные имена субъектов для следующих типов. Убедитесь, что указываемые имена являются допустимыми для выбранного типа. Указанные альтернативные имена субъектов проверяются (на основе указанного типа) и добавляются в файл CSR только после создания CSR.

        • DNS (используйте имя хоста или FQDN, например hostname.labs.company.com)
        • IP-адрес (например, 192.0.2.0)
        • Адрес электронной почты (например, example@company.com)
        Если альтернативные имена субъектов не предоставлены, используются имена по умолчанию и тип из концентратора управления.
        • IP-адрес. Текущий IP-адрес концентратора управления

        • Имя DNS. Имя хоста концентратора управления

        • Имя DNS. FQDN концентратора управления, если предоставлено доменное имя. В противном случае пусто.

        Внимание
        Альтернативные имена субъектов должны включать имя хоста или полное доменное имя (FQDN) и IP-адрес концентратора управления, а имя субъекта должно быть задано равным имени хоста или FQDN концентратора управления. Перед началом процесса CSR проверьте, что эти обязательные поля присутствуют и содержат правильные значения, чтобы гарантировать, что полученный сертификат будет полным. Отсутствие данных сертификата может привести к установке недоверенных соединений при попытке подключить концентратор управления к Lenovo XClarity Orchestrator.
      Важное замечание
      • Прежде чем продолжить, убедитесь, что новый созданный сертификат содержит FQDN и IP-адрес в составе альтернативных имен субъектов.

      • Убедитесь, что новый созданный сертификат настроен для использования как в качестве сертификата сервера, так и в качестве сертификата клиента.

  2. Отправьте CSR в доверенный центр сертификации (ЦС). Центр сертификации подпишет CSR и вернет сертификат сервера.

    Внимание
    Все альтернативные имена субъектов, хранимые в CSR, должны использоваться для подписания CSR и создания веб-сертификата.
  3. Импортируйте сертификат сервера, подписанный сторонним центром сертификации, и сертификат ЦС в XClarity Management Hub 2.0, чтобы заменить текущий сертификат сервера.

    1. На панели Запрос подписи сертификата (CSR) нажмите Импорт сертификата, чтобы открыть диалоговое окно Импорт сертификата.

    2. Вставьте сертификат сервера, подписанный сторонним центром сертификации, в формате PEM. Необходимо указать всю цепочку сертификатов, начиная с сертификата сервера и заканчивая корневым сертификатом ЦС.

    3. Нажмите Импорт, чтобы сохранить сертификат сервера в доверенном хранилище концентратора управления.

      Внимание
      Альтернативные имена субъектов, хранимые в CSR в концентраторе управления, должны точно соответствовать именам альтернативных субъектов, хранимым в импортируемом сертификате сервера. При наличии несоответствия (например, если IP-адрес от CSR/подписанного сертификата не соответствует IP-адресу от концентратора управления) импорт и установка сертификата сервера будут завершены успешно, но это может привести к установке недоверенных соединений (например, не удается получить доступ к пользовательскому интерфейсу).