การจัดการใบรับรองด้านความปลอดภัยของ Lenovo XClarity Management Hub ขสำหรับอุปกรณ์ Edge-Client
Lenovo XClarity Management Hub ใช้ใบรับรอง SSL ในการสร้างการสื่อสารที่ปลอดภัยและน่าเชื่อถือระหว่าง Lenovo XClarity Management Hub และอุปกรณ์ที่มีการจัดการ รวมไปถึงการสื่อสารกับ Lenovo XClarity Management Hub โดยผู้ใช้หรือบริการอื่นๆ ตามค่าเริ่มต้น Lenovo XClarity Management Hub และ XClarity Orchestrator ใช้ XClarity Orchestrator ที่ลงนามด้วยตนเองและออกให้โดยหน่วยงานด้านใบรับรองภายใน
ก่อนจะเริ่มต้น
ส่วนนี้มีไว้สำหรับผู้ดูแลระบบที่มีความเข้าใจพื้นฐานเกี่ยวกับมาตรฐาน SSL และใบรับรอง SSL รวมถึงความหมายและวิธีจัดการมาตรฐานและใบรับรองเหล่านี้ สำหรับข้อมูลทั่วไปเกี่ยวกับใบรับรองคีย์สาธารณะ โปรดดู เว็บเพจ X.509 ใน Wikipedia และ เว็บเพจ Internet X.509 Public Key Infrastructure Certificate และ Certificate Revocation List (CRL) Profile (RFC5280)
เกี่ยวกับงานนี้
- สร้างคีย์คู่ใหม่โดยการสร้างผู้ให้บริการออกใบรับรองภายในและ/หรือใบรับรองเซิร์ฟเวอร์ปลายทางขึ้นมาใหม่ที่ใช้ค่าที่เฉพาะเจาะจงกับองค์กรของคุณ
- สร้างคำขอการลงนามใบรับรอง (CSR) ที่สามารถส่งไปยังผู้ให้บริการออกใบรับรองที่คุณเลือกเพื่อลงนามใบรับรองที่กำหนดเอง ซึ่งสามารถอัปโหลดไปยัง Lenovo XClarity Management Hub เพื่อใช้เป็นใบรับรองเซิร์ฟเวอร์ปลายทางสำหรับบริการที่โฮสต์ทั้งหมด
- ดาวน์โหลดใบรับรองเซิร์ฟเวอร์ไปยังระบบภายในเพื่อให้คุณสามารถนำเข้าใบรับรองนั้นลงในรายการใบรับรองที่เชื่อถือได้ของเว็บเบราเซอร์
Lenovo XClarity Management Hub ให้บริการหลายอย่างที่ยอมรับการเชื่อมต่อ SSL/TLS ขาเข้า เมื่อไคลเอ็นต์ เช่น เว็บเบราเซอร์ เชื่อมต่อกับบริการใดบริการหนึ่งเหล่านี้ Lenovo XClarity Management Hub จะระบุ ใบรับรองเซิร์ฟเวอร์ เพื่อให้ไคลเอนต์ที่พยายามเชื่อมต่อระบุเซิร์ฟเวอร์ได้ ไคลเอ็นต์ควรเก็บรักษารายการใบรับรองที่ตัวเองเชื่อถือ หากใบรับรองเซิร์ฟเวอร์ของ Lenovo XClarity Management Hub ไม่รวมอยู่ในรายการของไคลเอ็นต์ ไคลเอ็นต์จะตัดการเชื่อมต่อจาก Lenovo XClarity Management Hub เพื่อหลีกเลี่ยงการแลกเปลี่ยนข้อมูลที่มีความละเอียดอ่อนด้านการรักษาความปลอดภัยกับแหล่งที่ไม่น่าเชื่อถือ
Lenovo XClarity Management Hub ทำหน้าที่เป็นไคลเอ็นต์เมื่อสื่อสารกับอุปกรณ์ที่ได้รับการจัดการและบริการภายนอก เมื่อเกิดกรณีเช่นนี้ขึ้น อุปกรณ์ที่มีการจัดการหรือบริการภายนอกจะให้ใบรับรองของเซิร์ฟเวอร์เพื่อที่จะรับการตรวจสอบโดย Lenovo XClarity Management Hub Lenovo XClarity Management Hub จะเก็บรักษารายการใบรับรองที่ตัวเองเชื่อถือ หาก ใบรับรองที่เชื่อถือได้ ที่อุปกรณ์ที่ได้รับการจัดการหรือบริการภายนอกนั้นระบุไม่มีรวมอยู่ในรายการ Lenovo XClarity Management Hub จะตัดการเชื่อมต่อกับอุปกรณ์ที่ได้รับการจัดการหรือบริการภายนอก เพื่อหลีกเลี่ยงการแลกเปลี่ยนข้อมูลที่มีความละเอียดอ่อนด้านการรักษาความปลอดภัยกับแหล่งที่ไม่น่าเชื่อถือ
- ใบรับรองเซิร์ฟเวอร์ ระหว่างการบูตเริ่มต้น ระบบจะสร้างคีย์และใบรับรองที่ลงนามด้วยตนเองที่ไม่ซ้ำกัน รายการเหล่านี้จะใช้เป็นผู้ให้บริการออกใบรับรองรูท ซึ่งสามารถจัดการได้ในหน้าหน่วยงานด้านใบรับรองในการตั้งค่าการรักษาความปลอดภัย Lenovo XClarity Management Hub ไม่จำเป็นต้องสร้างใบรับรองรูทนี้ใหม่ เว้นแต่คีย์จะถูกบุกรุก หรือหน่วยงานของคุณมีนโยบายที่กำหนดให้เปลี่ยนใบรับรองทั้งหมดเป็นระยะ (ดูที่ การสร้างใบรับรองเซิร์ฟเวอร์ที่ลงนามด้วยตนเองใหม่ของ XClarity Management Hub สำหรับอุปกรณ์ Edge-Client)
นอกจากนี้ ระหว่างการตั้งค่าเริ่มต้น จะมีการสร้างคีย์ที่แยกต่างหากและใบรับรองเซิร์ฟเวอร์ที่สร้างและลงนามโดยหน่วยงานด้านใบรับรองภายใน ใบรับรองนี้จะใช้เป็นใบรับรองเซิร์ฟเวอร์ Lenovo XClarity Management Hub ตามค่าเริ่มต้น ซึ่งจะสร้างใหม่โดยอัตโนมัติในแต่ละครั้งที่ Lenovo XClarity Management Hub ตรวจพบว่าที่อยู่เครือข่าย (ที่อยู่ IP หรือ DNS) เปลี่ยนแปลงเพื่อทำให้แน่ใจว่าใบรับรองมีที่อยู่ที่ถูกต้องสำหรับเซิร์ฟเวอร์ ซึ่งสามารถกำหนดเองและสร้างตามความต้องการ (ดูที่ การสร้างใบรับรองเซิร์ฟเวอร์ที่ลงนามด้วยตนเองใหม่ของ XClarity Management Hub สำหรับอุปกรณ์ Edge-Client)
คุณสามารถเลือกใช้ใบรับรองเซิร์ฟเวอร์ที่ลงนามภายนอกแทนใบรับรองเซิร์ฟเวอร์ที่ลงนามด้วยตนเองเริ่มต้นโดยสร้างคำขอการลงนามใบรับรอง (CSR) ให้ CSR ลงนามโดยผู้ให้บริการออกใบรับรองรูทในเชิงพาณิชย์หรือส่วนตัว จากนั้นนำเข้ากลุ่มใบรับรองทั้งหมดลงใน Lenovo XClarity Management Hub (ดู การติดตั้งใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอกที่เชื่อถือได้ของ XClarity Management Hub สำหรับอุปกรณ์ Edge-Client
หากคุณเลือกที่จะใช้ใบรับรองเซิร์ฟเวอร์ที่ลงนามด้วยตนเองเริ่มต้น ขอแนะนำให้คุณนำเข้าใบรับรองเซิร์ฟเวอร์ในเว็บเบราเซอร์เป็นหน่วยงานด้านใบรับรองรูทที่เชื่อถือได้ เพื่อหลีกเลี่ยงข้อความแสดงข้อผิดพลาดของใบรับรองในเบราเซอร์ของคุณ (ดู การนำเข้าใบรับรองของเซิร์ฟเวอร์ลงในเว็บเบราเซอร์ของ Lenovo XClarity Management Hub สำหรับอุปกรณ์ Edge-Client
- ใบรับรองการปรับใช้ OS บริการการปรับใช้ระบบปฏิบัติการจะใช้ใบรับรองที่แยกต่างหาก เพื่อทำให้แน่ใจว่าโปรแกรมติดตั้งระบบปฏิบัติการสามารถเชื่อมต่อกับบริการการปรับใช้ได้อย่างปลอดภัยในระหว่างขั้นตอนการปรับใช้ หากคีย์ถูกบุกรุก คุณสามารถสร้างคีย์ใหม่โดยรีสตาร์ท Lenovo XClarity Management Hub