Skip to main content

การทำงานกับใบรับรองด้านความปลอดภัย

Lenovo XClarity Orchestrator ใช้ใบรับรอง SSL ในการสร้างการสื่อสารที่ปลอดภัยและน่าเชื่อถือระหว่าง XClarity Orchestrator และตัวจัดการทรัพยากรที่มีการจัดการ (เช่น Lenovo XClarity Administrator หรือ Schneider Electric EcoStruxure IT Expert) รวมถึงการสื่อสารกับ XClarity Orchestrator โดยผู้ใช้หรือบริการอื่นๆ ตามค่าเริ่มต้น XClarity Orchestrator และ Lenovo XClarity Administrator ใช้ XClarity Orchestrator ที่ลงนามด้วยตนเองและออกให้โดยหน่วยงานด้านใบรับรองภายใน

ก่อนจะเริ่มต้น

ส่วนนี้มีไว้สำหรับผู้ดูแลระบบที่มีความเข้าใจพื้นฐานเกี่ยวกับมาตรฐาน SSL และใบรับรอง SSL รวมถึงความหมายและวิธีจัดการมาตรฐานและใบรับรองเหล่านี้ สำหรับข้อมูลทั่วไปเกี่ยวกับใบรับรองคีย์สาธารณะ โปรดดู Wikipedia 中的“X.509”网页 และ “Internet X.509 公钥基础结构证书 和证书吊销列表(CRL)Profile(RFC5280)”网页

เกี่ยวกับงานนี้

ใบรับรองเซิร์ฟเวอร์เริ่มต้น ซึ่งถูกสร้างขึ้นโดยไม่ซ้ำกันในทุกอินสแตนซ์ของ XClarity Orchestrator จะมอบการรักษาความปลอดภัยที่เพียงพอสำหรับสภาพแวดล้อมต่างๆ มากมาย คุณสามารถเลือกที่จะให้ XClarity Orchestrator จัดการใบรับรองให้คุณ หรือคุณสามารถรับบทบาทที่ใช้งานอยู่เพิ่มเติมได้โดยกำหนดใบรับรองเซิร์ฟเวอร์เองและแทนที่ใบรับรองเซิร์ฟเวอร์ XClarity Orchestrator จะให้ตัวเลือกสำหรับการกำหนดใบรับรองเองสำหรับสภาพแวดล้อมของคุณ ตัวอย่างเช่น คุณสามารถเลือก:
  • สร้างคีย์คู่ใหม่โดยการสร้างผู้ให้บริการออกใบรับรองภายในและ/หรือใบรับรองเซิร์ฟเวอร์ปลายทางขึ้นมาใหม่ที่ใช้ค่าที่เฉพาะเจาะจงกับองค์กรของคุณ
  • สร้างคำขอการลงนามใบรับรอง (CSR) ที่สามารถส่งไปยังผู้ให้บริการออกใบรับรองที่คุณเลือกเพื่อลงนามใบรับรองที่กำหนดเอง ซึ่งสามารถอัปโหลดไปยัง XClarity Orchestrator เพื่อใช้เป็นใบรับรองเซิร์ฟเวอร์ปลายทางสำหรับบริการที่โฮสต์ทั้งหมด
  • ดาวน์โหลดใบรับรองเซิร์ฟเวอร์ไปยังระบบภายในเพื่อให้คุณสามารถนำเข้าใบรับรองนั้นลงในรายการใบรับรองที่เชื่อถือได้ของเว็บเบราเซอร์

XClarity Orchestrator ให้บริการหลายอย่างที่ยอมรับการเชื่อมต่อ SSL/TLS ขาเข้า เมื่อไคลเอ็นต์ เช่น เว็บเบราเซอร์ เชื่อมต่อกับบริการใดบริการหนึ่งเหล่านี้ XClarity Orchestrator จะระบุ ใบรับรองเซิร์ฟเวอร์ เพื่อให้ไคลเอนต์ที่พยายามเชื่อมต่อระบุเซิร์ฟเวอร์ได้ ไคลเอ็นต์ควรเก็บรักษารายการใบรับรองที่ตัวเองเชื่อถือ หากใบรับรองเซิร์ฟเวอร์ของ XClarity Orchestrator ไม่รวมอยู่ในรายการของไคลเอ็นต์ ไคลเอ็นต์จะตัดการเชื่อมต่อจาก XClarity Orchestrator เพื่อหลีกเลี่ยงการแลกเปลี่ยนข้อมูลที่มีความละเอียดอ่อนด้านการรักษาความปลอดภัยกับแหล่งที่ไม่น่าเชื่อถือ

XClarity Orchestrator ทำหน้าที่เป็นไคลเอ็นต์เมื่อสื่อสารกับตัวจัดการทรัพยากรและบริการภายนอก เมื่อเกิดกรณีเช่นนี้ขึ้น ตัวจัดการทรัพยากรหรือบริการภายนอกจะให้ใบรับรองของเซิร์ฟเวอร์เพื่อที่จะรับการตรวจสอบโดย XClarity Orchestrator XClarity Orchestrator จะเก็บรักษารายการใบรับรองที่ตัวเองเชื่อถือ หาก ใบรับรองที่เชื่อถือได้ ที่ตัวจัดการทรัพยากรหรือบริการภายนอกนั้นระบุไม่มีรวมอยู่ในรายการ XClarity Orchestrator จะตัดการเชื่อมต่อกับอุปกรณ์ที่มีการจัดการหรือบริการภายนอก เพื่อหลีกเลี่ยงการแลกเปลี่ยนข้อมูลที่มีความละเอียดอ่อนด้านการรักษาความปลอดภัยกับแหล่งที่ไม่น่าเชื่อถือ

ประเภทของใบรับรองต่อไปนี้ใช้โดยบริการ XClarity Orchestrator และควรได้รับการเชื่อถือโดยไคลเอ็นต์ที่เชื่อมต่อกับใบรับรอง
  • ใบรับรองเซิร์ฟเวอร์ ระหว่างการบูตเริ่มต้น ระบบจะสร้างคีย์และใบรับรองที่ลงนามด้วยตนเองที่ไม่ซ้ำกัน รายการเหล่านี้จะใช้เป็นผู้ให้บริการออกใบรับรองรูท ซึ่งสามารถจัดการได้ในหน้าหน่วยงานด้านใบรับรองในการตั้งค่าการรักษาความปลอดภัย XClarity Orchestrator ไม่จำเป็นต้องสร้างใบรับรองรูทนี้ใหม่ เว้นแต่คีย์จะถูกบุกรุก หรือหน่วยงานของคุณมีนโยบายที่กำหนดให้เปลี่ยนใบรับรองทั้งหมดเป็นระยะ (ดูที่ การสร้างใบรับรองเซิร์ฟเวอร์ XClarity Orchestrator ที่ลงนามภายในใหม่)

    นอกจากนี้ ระหว่างการตั้งค่าเริ่มต้น จะมีการสร้างคีย์ที่แยกต่างหากและใบรับรองเซิร์ฟเวอร์ที่สร้างและลงนามโดยหน่วยงานด้านใบรับรองภายใน ใบรับรองนี้จะใช้เป็นใบรับรองเซิร์ฟเวอร์ XClarity Orchestrator ตามค่าเริ่มต้น ซึ่งจะสร้างใหม่โดยอัตโนมัติในแต่ละครั้งที่ XClarity Orchestrator ตรวจพบว่าที่อยู่เครือข่าย (ที่อยู่ IP หรือ DNS) เปลี่ยนแปลงเพื่อทำให้แน่ใจว่าใบรับรองมีที่อยู่ที่ถูกต้องสำหรับเซิร์ฟเวอร์ ซึ่งสามารถกำหนดเองและสร้างตามความต้องการ (ดูที่ การสร้างใบรับรองเซิร์ฟเวอร์ XClarity Orchestrator ที่ลงนามภายในใหม่)

    คุณสามารถเลือกใช้ใบรับรองเซิร์ฟเวอร์ที่ลงนามภายนอกแทนใบรับรองเซิร์ฟเวอร์ที่ลงนามด้วยตนเองเริ่มต้นโดยสร้างคำขอการลงนามใบรับรอง (CSR) ให้ CSR ลงนามโดยผู้ให้บริการออกใบรับรองรูทในเชิงพาณิชย์หรือส่วนตัว จากนั้นนำเข้ากลุ่มใบรับรองทั้งหมดลงใน XClarity Orchestrator (ดู การติดตั้งใบรับรองเซิร์ฟเวอร์ XClarity Orchestrator ที่เชื่อถือได้ที่ลงนามจากภายนอก

    หากคุณเลือกที่จะใช้ใบรับรองเซิร์ฟเวอร์ที่ลงนามด้วยตนเองเริ่มต้น ขอแนะนำให้คุณนำเข้าใบรับรองเซิร์ฟเวอร์ในเว็บเบราเซอร์เป็นหน่วยงานด้านใบรับรองรูทที่เชื่อถือได้ เพื่อหลีกเลี่ยงข้อความแสดงข้อผิดพลาดของใบรับรองในเบราเซอร์ของคุณ (ดู การนำเข้าใบรับรองเซิร์ฟเวอร์ลงในเว็บเบราเซอร์

ใบรับรองประเภทต่อไปนี้ (พื้นที่จัดเก็บที่น่าเชื่อถือ) ถูกใช้โดยไคลเอ็นต์ XClarity Orchestrator
  • ใบรับรองที่น่าเชื่อถือ

    พื้นที่จัดเก็บที่น่าเชื่อถือนี้จะจัดการใบรับรองที่ใช้เพื่อสร้างการเชื่อมต่อที่ปลอดภัยกับทรัพยากรภายในเมื่อ XClarity Orchestrator ทำหน้าที่เป็นไคลเอ็นต์ ตัวอย่างของทรัพยากรภายใน ได้แก่ ตัวจัดการทรัพยากรที่มีการจัดการ ซอฟต์แวร์ภายในเมื่อส่งต่อเหตุการณ์ เป็นต้น

  • ใบรับรองบริการภายนอก พื้นที่จัดเก็บที่น่าเชื่อถือนี้จะจัดการใบรับรองที่ใช้เพื่อสร้างการเชื่อมต่อที่ปลอดภัยกับบริการภายนอกเมื่อ XClarity Orchestrator ทำหน้าที่เป็นไคลเอ็นต์ ตัวอย่างของบริการภายนอก ได้แก่ บริการสนับสนุนออนไลน์ของ Lenovo ที่ใช้ในการดึงข้อมูลการรับประกันหรือสร้างทิคเก็ตบริการ ซอฟต์แวร์ภายนอก (เช่น Splunk) ที่สามารถส่งต่อเหตุการณ์ได้ ประกอบด้วยใบรับรองที่เชื่อถือได้ที่กำหนดค่าไว้ล่วงหน้าจากผู้ให้บริการออกใบรับรองรูทจากผู้ให้บริการออกใบรับรองที่เชื่อถือได้และเป็นที่รู้จักทั่วโลก (เช่น Digicert และ Globalsign)

    เมื่อคุณกําหนดค่า XClarity Orchestrator เพื่อใช้คุณลักษณะที่ต้องใช้การเชื่อมต่อกับบริการภายนอกอื่น โปรดดูเอกสารที่ระบุว่าคุณต้องเพิ่มใบรับรองลงในพื้นที่จัดเก็บที่น่าเชื่อถือนี้ด้วยตนเองหรือไม่

    โปรดทราบว่าใบรับรองในพื้นที่จัดเก็บที่น่าเชื่อถือนี้จะไม่น่าเชื่อถือเมื่อสร้างการเชื่อมต่อกับบริการอื่นๆ (เช่น LDAP) เว้นแต่คุณเพิ่มใบรับรองเหล่านั้นในพื้นที่จัดเก็บที่น่าเชื่อถือของใบรับรองที่เชื่อถือได้หลักด้วย การนำใบรับรองออกจากพื้นที่จัดเก็บที่น่าเชื่อถือนี้จะป้องกันไม่ให้บริการเหล่านี้ดำเนินการได้สำเร็จ

  • การเพิ่มใบรับรองที่เชื่อถือได้สำหรับบริการภายนอก
    ใบรับรองเหล่านี้ใช้เพื่อสร้างความสัมพันธ์ที่เชื่อถือได้กับบริการภายนอก ตัวอย่างเช่น ใบรับรองในพื้นที่จัดเก็บที่น่าเชื่อถือนี้จะใช้เมื่อเรียกดูข้อมูลการรับประกันจาก Lenovo, สร้างทิคเก็ต ส่งต่อเหตุการณ์ไปยังแอปพลิเคชันภายนอก (เช่น Splunk) และใช้เซิร์ฟเวอร์ LDAP ภายนอก
  • การเพิ่มใบรับรองที่เชื่อถือได้สำหรับบริการภายใน
    ใบรับรองเหล่านี้ใช้เพื่อสร้างความสัมพันธ์ที่เชื่อถือได้ทรัพยากรภายใน เมื่อ Lenovo XClarity Orchestrator ทำหน้าที่เป็นไคลเอ็นต์ไปยังทรัพยากรเหล่านั้น เช่น ตัวจัดการทรัพยากร การส่งต่อเหตุการณ์ไปยังซอฟต์แวร์ภายใน และเซิร์ฟเวอร์ LDAP ที่ฝังตัว นอกจากนี้ ใบรับรอง CA ภายใน รวมถึงใบรับรอง CA ของใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอกที่กำหนดเอง (หากมีการติดตั้งไว้) จะมีอยู่ในพื้นที่จัดเก็บที่น่าเชื่อถือนี้เพื่อรองรับการสื่อสารของ XClarity Orchestrator ภายใน
  • การติดตั้งใบรับรองเซิร์ฟเวอร์ XClarity Orchestrator ที่เชื่อถือได้ที่ลงนามจากภายนอก
    คุณสามารถเลือกใช้ใบรับรองเซิร์ฟเวอร์ที่เชื่อถือได้ที่มีการลงนามโดยหน่วยงานด้านใบรับรอง (CA) เอกชนหรือพาณิชย์ ในการใช้ใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอก ให้สร้างคำขอการลงนามใบรับรอง (CSR) แล้วนำเข้าใบรับรองเซิร์ฟเวอร์ที่ได้มาเพื่อแทนที่ใบรับรองเซิร์ฟเวอร์ที่มีอยู่
  • การสร้างใบรับรองเซิร์ฟเวอร์ XClarity Orchestrator ที่ลงนามภายในใหม่
    คุณสามารถสร้างใบรับรองเซิร์ฟเวอร์ใหม่เพื่อแทนที่ใบรับรองเซิร์ฟเวอร์ Lenovo XClarity Orchestrator ที่ลงนามภายในปัจจุบัน หรือนำใบรับรองที่สร้างโดย XClarity Orchestrator กลับมาใช้อีก หาก XClarity Orchestrator ใช้ใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอกที่กำหนดเองอยู่ในปัจจุบัน XClarity Orchestrator ใช้ใบรับรองของเซิร์ฟเวอร์ที่ลงนามภายในใหม่สำหรับการเข้าถึง HTTPS
  • การนำเข้าใบรับรองเซิร์ฟเวอร์ลงในเว็บเบราเซอร์
    คุณสามารถบันทึกสำเนาของใบรับรองเซิร์ฟเวอร์ปัจจุบันในรูปแบบ PEM ลงในระบบภายในของคุณ จากนั้นคุณสามารถนำเข้าใบรับรองลงในรายการใบรับรองที่เชื่อถือได้ของเว็บเบราเซอร์หรือแอปพลิเคชันอื่นๆ (เช่น Lenovo XClarity Mobile หรือ Lenovo XClarity Integrator) เพื่อหลีกเลี่ยงข้อความแจ้งเตือนด้านการรักษาความปลอดภัยจากเว็บเบราเซอร์เมื่อคุณเข้าถึง Lenovo XClarity Orchestrator