การติดตั้งใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอกที่เชื่อถือได้ของ ฮับการจัดการ สำหรับอุปกรณ์ Edge-Client
คุณสามารถเลือกใช้ใบรับรองเซิร์ฟเวอร์ที่เชื่อถือได้ที่มีการลงนามโดยหน่วยงานด้านใบรับรอง (CA) เอกชนหรือพาณิชย์ ในการใช้ใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอก ให้สร้างคำขอการลงนามใบรับรอง (CSR) แล้วนำเข้าใบรับรองเซิร์ฟเวอร์ที่ได้มาเพื่อแทนที่ใบรับรองเซิร์ฟเวอร์ที่มีอยู่
ก่อนจะเริ่มต้น
- หากคุณติดตั้งใบรับรองเซิร์ฟเวอร์ Lenovo XClarity Management Hub ที่ลงนามจากภายนอกโดยใช้ใบรับรองรูท CA ใหม่ ฮับการจัดการ จะสูญเสียการเชื่อมต่อกับอุปกรณ์ที่มีการจัดการ และคุณต้องจัดการอุปกรณ์อีกครั้ง หากคุณติดตั้งใบรับรองเซิร์ฟเวอร์ Lenovo XClarity Management Hub ที่ลงนามจากภายนอกโดยไม่เปลี่ยนรูท CA (ตัวอย่างเช่น เมื่อใบรับรองหมดอายุ) คุณจะไม่ต้องจัดการอุปกรณ์ใหม่
- หากมีการเพิ่มอุปกรณ์ใหม่หลังจากสร้าง CSR และก่อนที่จะนําเข้าใบรับรองเซิร์ฟเวอร์ที่ลงนาม ต้องรีสตาร์ทอุปกรณ์เหล่านั้นเพื่อรับใบรับรองเซิร์ฟเวอร์ใหม่
เกี่ยวกับงานนี้
แนวทางปฏิบัติที่ดีที่สุดคือให้ใช้ใบรับรองที่ลงนาม v3 เสมอ
ต้องสร้างใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอกจากคำขอการลงนามใบรับรองที่สร้างขึ้นล่าสุดโดยใช้ปุ่ม สร้างไฟล์ CSR
เนื้อหาของใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอกต้องเป็นชุดใบรับรองที่ประกอบด้วยสายการลงนาม CA ทั้งหมด รวมทั้งใบรับรองรูทของ CA, ใบรับรองระดับกลางใดๆ และใบรับรองเซิร์ฟเวอร์
หากใบรับรองเซิร์ฟเวอร์ใหม่ไม่ได้รับการลงนามโดยบุคคลที่สามที่เชื่อถือได้ ครั้งถัดไปที่คุณเชื่อมต่อกับ Lenovo XClarity Management Hub เบราเซอร์ของคุณจะแสดงข้อความเกี่ยวกับการรักษาความปลอดภัยและกล่องโต้ตอบที่แจ้งให้คุณยอมรับใบรับรองใหม่ลงในเบราเซอร์ เพื่อหลีกเลี่ยงข้อความเกี่ยวกับการรักษาความปลอดภัย คุณสามารถนำเข้าใบรับรองเซิร์ฟเวอร์ลงในรายการใบรับรองที่เชื่อถือได้ของเว็บเบราเซอร์ (โปรดดู การนำเข้าใบรับรองเซิร์ฟเวอร์ลงในเว็บเบราเซอร์)
ฮับการจัดการ เริ่มต้นใช้งานใบรับรองเซิร์ฟเวอร์ใหม่โดยไม่ต้องสิ้นสุดเซสชันปัจจุบัน ระบบจะสร้างเซสชันใหม่โดยใช้ใบรับรองใหม่ เมื่อต้องการใช้ใบรับรองใหม่ที่ใช้งานอยู่ ให้รีสตาร์ทเว็บเบราเซอร์ของคุณ
ขั้นตอน
ดำเนินการขั้นตอนต่อไปนี้เพื่อสร้างและติดตั้งใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอก
- สร้างคำขอการลงนามใบรับรองและบันทึกไฟล์ไปยังระบบภายในของคุณ
- จากแถบเมนู ฮับการจัดการ ให้คลิก การรักษาความปลอดภัย (
) > ใบรับรองเซิร์ฟเวอร์ เพื่อแสดงการ์ดข้อมูล สร้างคำขอการลงนามใบรับรอง
- จากการ์ดสร้างคำขอการลงนามใบรับรอง (CSR) ให้กรอกข้อมูลในฟิลด์สำหรับคำขอ
- รหัส ISO 3166 สองตัวอักษรสำหรับประเทศหรือภูมิภาคต้นทางที่เชื่อมโยงกับหน่วยงานด้านใบรับรอง (เช่น US สำหรับสหรัฐอเมริกา)
- ชื่อเต็มของรัฐหรือจังหวัดที่จะเชื่อมโยงกับใบรับรอง (เช่น แคลิฟอร์เนียหรือนิวบรันสวิก)
- ชื่อเต็มของเมืองที่จะเชื่อมโยงกับใบรับรอง (ตัวอย่างเช่น San Jose) ความยาวของค่าต้องไม่เกิน 50 อักขระ
- องค์กร (บริษัท) ซึ่งเป็นเจ้าของใบรับรอง โดยทั่วไปแล้วคือชื่อตามกฎหมายของบริษัท ควรใส่ส่วนต่อท้ายใดๆ เช่น Ltd., Inc., หรือ Corp (เช่น ACME International Ltd.) ความยาวของค่านี้ต้องไม่เกิน 60 อักขระ
- (ไม่บังคับ) หน่วยงานที่เป็นเจ้าของใบรับรอง (เช่น ABC Division) ความยาวของค่านี้ต้องไม่เกิน 60 อักขระ
- ชื่อทั่วไปของเจ้าของใบรับรอง ส่วนนี้ต้องเป็นชื่อโฮสต์ของเซิร์ฟเวอร์ที่ใช้ใบรับรอง ความยาวของค่านี้ต้องไม่เกิน 63 อักขระหมายเหตุในขณะนี้ แอตทริบิวต์นี้ไม่มีผลกระทบกับใบรับรอง
- (ไม่บังคับ) Subject Alternative Name ที่ปรับแต่ง ลบ และเพิ่มไปยังส่วนขยาย X.509 "subjectAltName" เมื่อสร้าง CSR Subject Alternative Name ที่ระบุจะได้รับการตรวจสอบ (ตามประเภทที่ระบุ) และจะเพิ่มไปยัง CSR เฉพาะหลังจากที่คุณสร้าง CSR เท่านั้น
ตามค่าเริ่มต้น ฮับการจัดการ จะกำหนดชื่อแสดงแทนบุคคลที่ได้รับการรับรองสำหรับ CSR โดยอัตโนมัติตามที่อยู่ IP และชื่อโฮสต์ที่ค้นพบโดยอินเทอร์เฟสเครือข่ายสำหรับระบบปฏิบัติการเกสต์ของ ฮับการจัดการ
ข้อควรสนใจSubject Alternative Name ต้องมีชื่อโดเมนแบบเต็ม (FQDN) หรือที่อยู่ IP ของฮับการจัดการ และต้องตั้งค่า Subject Name เป็น FQDN ของฮับการจัดการ ตรวจสอบว่ากรอกข้อมูลในฟิลด์ที่จำเป็นเหล่านี้แล้วและมีความถูกต้องก่อนเริ่มกระบวนการ CSR เพื่อให้แน่ใจว่าใบรับรองจะเสร็จสมบูรณ์ ข้อมูลใบรับรองที่ขาดหายไปอาจส่งผลให้เกิดการเชื่อมต่อที่ไม่น่าเชื่อถือเมื่อพยายามเชื่อมต่อฮับการจัดการกับLenovo XClarity Orchestrator ชื่อที่คุณระบุต้องถูกต้องสำหรับประเภทที่เลือก- DNS (ใช้ FQDN ตัวอย่างเช่น hostname.labs.company.com)
- ที่อยู่ IP (เช่น 192.0.2.0)
- อีเมล (เช่น example@company.com)
- จากแถบเมนู ฮับการจัดการ ให้คลิก การรักษาความปลอดภัย (