Skip to main content

การติดตั้งใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอกที่เชื่อถือได้ของ XClarity Management Hub สำหรับอุปกรณ์ Edge-Client

คุณสามารถเลือกใช้ใบรับรองเซิร์ฟเวอร์ที่เชื่อถือได้ที่มีการลงนามโดยหน่วยงานด้านใบรับรอง (CA) เอกชนหรือพาณิชย์ ในการใช้ใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอก ให้สร้างคำขอการลงนามใบรับรอง (CSR) แล้วนำเข้าใบรับรองเซิร์ฟเวอร์ที่ได้มาเพื่อแทนที่ใบรับรองเซิร์ฟเวอร์ที่มีอยู่

ก่อนจะเริ่มต้น

ข้อควรสนใจ
  • หากคุณติดตั้งใบรับรองเซิร์ฟเวอร์ Lenovo XClarity Management Hub ที่ลงนามจากภายนอกโดยใช้ใบรับรองรูท CA ใหม่ XClarity Management Hub จะสูญเสียการเชื่อมต่อกับอุปกรณ์ที่มีการจัดการ และคุณต้องจัดการอุปกรณ์อีกครั้ง หากคุณติดตั้งใบรับรองเซิร์ฟเวอร์ Lenovo XClarity Management Hub ที่ลงนามจากภายนอกโดยไม่เปลี่ยนรูท CA (ตัวอย่างเช่น เมื่อใบรับรองหมดอายุ) คุณจะไม่ต้องจัดการอุปกรณ์ใหม่
  • หากมีการเพิ่มอุปกรณ์ใหม่หลังจากสร้าง CSR และก่อนที่จะนําเข้าใบรับรองเซิร์ฟเวอร์ที่ลงนาม ต้องรีสตาร์ทอุปกรณ์เหล่านั้นเพื่อรับใบรับรองเซิร์ฟเวอร์ใหม่

เกี่ยวกับงานนี้

แนวทางปฏิบัติที่ดีที่สุดคือให้ใช้ใบรับรองที่ลงนาม v3 เสมอ

ต้องสร้างใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอกจากคำขอการลงนามใบรับรองที่สร้างขึ้นล่าสุดโดยใช้ปุ่ม สร้างไฟล์ CSR

เนื้อหาของใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอกต้องเป็นชุดใบรับรองที่ประกอบด้วยสายการลงนาม CA ทั้งหมด รวมทั้งใบรับรองรูทของ CA, ใบรับรองระดับกลางใดๆ และใบรับรองเซิร์ฟเวอร์

หากใบรับรองเซิร์ฟเวอร์ใหม่ไม่ได้รับการลงนามโดยบุคคลที่สามที่เชื่อถือได้ ครั้งถัดไปที่คุณเชื่อมต่อกับ Lenovo XClarity Management Hub เบราเซอร์ของคุณจะแสดงข้อความเกี่ยวกับการรักษาความปลอดภัยและกล่องโต้ตอบที่แจ้งให้คุณยอมรับใบรับรองใหม่ลงในเบราเซอร์ เพื่อหลีกเลี่ยงข้อความเกี่ยวกับการรักษาความปลอดภัย คุณสามารถนำเข้าใบรับรองเซิร์ฟเวอร์ลงในรายการใบรับรองที่เชื่อถือได้ของเว็บเบราเซอร์ (โปรดดู การนำเข้าใบรับรองของเซิร์ฟเวอร์ลงในเว็บเบราเซอร์ของ Lenovo XClarity Management Hub สำหรับอุปกรณ์ Edge-Client)

XClarity Management Hub เริ่มต้นใช้งานใบรับรองเซิร์ฟเวอร์ใหม่โดยไม่ต้องสิ้นสุดเซสชันปัจจุบัน ระบบจะสร้างเซสชันใหม่โดยใช้ใบรับรองใหม่ เมื่อต้องการใช้ใบรับรองใหม่ที่ใช้งานอยู่ ให้รีสตาร์ทเว็บเบราเซอร์ของคุณ

สำคัญ
เมื่อมีการแก้ไขใบรับรองของเซิร์ฟเวอร์ เซสชันผู้ใช้ที่สร้างขึ้นทั้งหมดต้องยอมรับใบรับรองใหม่โดยคลิก Ctrl+F5 เพื่อรีเฟรชเว็บเบราเซอร์ แล้วจึงสร้างการเชื่อมต่อกับ XClarity Management Hub อีกครั้ง

ขั้นตอน

ดำเนินการขั้นตอนต่อไปนี้เพื่อสร้างและติดตั้งใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอก

  1. สร้างคำขอการลงนามใบรับรองและบันทึกไฟล์ไปยังระบบภายในของคุณ
    1. จากแถบเมนู XClarity Management Hub ให้คลิก การรักษาความปลอดภัย (ไอคอนการรักษาความปลอดภัย) > ใบรับรองเซิร์ฟเวอร์ เพื่อแสดงการ์ดข้อมูล สร้างคำขอการลงนามใบรับรอง
      การ์ดสร้างคำขอการลงนามใบรับรอง (CSR)
    2. จากการ์ดสร้างคำขอการลงนามใบรับรอง (CSR) ให้กรอกข้อมูลในฟิลด์สำหรับคำขอ
      • รหัส ISO 3166 สองตัวอักษรสำหรับประเทศหรือภูมิภาคต้นทางที่เชื่อมโยงกับหน่วยงานด้านใบรับรอง (เช่น US สำหรับสหรัฐอเมริกา)
      • ชื่อเต็มของรัฐหรือจังหวัดที่จะเชื่อมโยงกับใบรับรอง (เช่น แคลิฟอร์เนียหรือนิวบรันสวิก)
      • ชื่อเต็มของเมืองที่จะเชื่อมโยงกับใบรับรอง (ตัวอย่างเช่น San Jose) ความยาวของค่าต้องไม่เกิน 50 อักขระ
      • องค์กร (บริษัท) ซึ่งเป็นเจ้าของใบรับรอง โดยทั่วไปแล้วคือชื่อตามกฎหมายของบริษัท ควรใส่ส่วนต่อท้ายใดๆ เช่น Ltd., Inc., หรือ Corp (เช่น ACME International Ltd.) ความยาวของค่านี้ต้องไม่เกิน 60 อักขระ
      • (ไม่บังคับ) หน่วยงานที่เป็นเจ้าของใบรับรอง (เช่น ABC Division) ความยาวของค่านี้ต้องไม่เกิน 60 อักขระ
      • ชื่อทั่วไปของเจ้าของใบรับรอง ส่วนนี้ต้องเป็นชื่อโฮสต์ของเซิร์ฟเวอร์ที่ใช้ใบรับรอง ความยาวของค่านี้ต้องไม่เกิน 63 อักขระ
        หมายเหตุ
        ในขณะนี้ แอตทริบิวต์นี้ไม่มีผลกระทบกับใบรับรอง
      • (ไม่บังคับ) Subject Alternative Name ที่ปรับแต่ง ลบ และเพิ่มไปยังส่วนขยาย X.509 "subjectAltName" เมื่อสร้าง CSR Subject Alternative Name ที่ระบุจะได้รับการตรวจสอบ (ตามประเภทที่ระบุ) และจะเพิ่มไปยัง CSR เฉพาะหลังจากที่คุณสร้าง CSR เท่านั้น

        ตามค่าเริ่มต้น XClarity Management Hub จะกำหนดชื่อแสดงแทนบุคคลที่ได้รับการรับรองสำหรับ CSR โดยอัตโนมัติตามที่อยู่ IP และชื่อโฮสต์ที่ค้นพบโดยอินเทอร์เฟสเครือข่ายสำหรับระบบปฏิบัติการเกสต์ของ XClarity Management Hub

        ข้อควรสนใจ
        Subject Alternative Name ต้องมีชื่อโดเมนแบบเต็ม (FQDN) หรือที่อยู่ IP ของฮับการจัดการ และต้องตั้งค่า Subject Name เป็น FQDN ของฮับการจัดการ ตรวจสอบว่ากรอกข้อมูลในฟิลด์ที่จำเป็นเหล่านี้แล้วและมีความถูกต้องก่อนเริ่มกระบวนการ CSR เพื่อให้แน่ใจว่าใบรับรองจะเสร็จสมบูรณ์ ข้อมูลใบรับรองที่ขาดหายไปอาจส่งผลให้เกิดการเชื่อมต่อที่ไม่น่าเชื่อถือเมื่อพยายามเชื่อมต่อฮับการจัดการกับ Lenovo XClarity Orchestrator
        ชื่อที่คุณระบุต้องถูกต้องสำหรับประเภทที่เลือก
        • DNS (ใช้ FQDN ตัวอย่างเช่น hostname.labs.company.com)
        • ที่อยู่ IP (เช่น 192.0.2.0)
        • อีเมล (เช่น example@company.com)
  2. จัดหา CSR ให้กับหน่วยงานด้านใบรับรอง (CA) ที่น่าเชื่อถือ CA ลงนาม CSR และส่งกลับใบรับรองเซิร์ฟเวอร์
  3. นำเข้าใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอกและใบรับรอง CA ลงใน XClarity Management Hub และแทนที่ใบรับรองเซิร์ฟเวอร์ปัจจุบัน
    1. จากการ์ดสร้างคำขอการลงนามใบรับรอง (CSR) ให้คลิก นำเข้าใบรับรอง เพื่อแสดงกล่องโต้ตอบ นำเข้าใบรับรอง
    2. คัดลอกและวางใบรับรองเซิร์ฟเวอร์และใบรับรอง CA ในรูปแบบ PEM คุณต้องระบุสายใบรับรองทั้งหมด โดยเริ่มต้นด้วยใบรับรองเซิร์ฟเวอร์และลงท้ายด้วยใบรับรอง CA รูท
    3. คลิก นำเข้า เพื่อจัดเก็บใบรับรองเซิร์ฟเวอร์ในพื้นที่จัดเก็บที่น่าเชื่อถือของ XClarity Management Hub
  4. ยอมรับใบรับรองใหม่โดยกด Ctrl+F5 เพื่อรีเฟรชเบราเซอร์ จากนั้นสร้างการเชื่อมต่อกับเว็บอินเทอร์เฟซอีกครั้ง ซึ่งต้องดำเนินการโดยเซสชันผู้ใช้ที่สร้างขึ้นทั้งหมด