Skip to main content

การจัดการใบรับรองด้านความปลอดภัยสำหรับฮับการจัดการของ XClarity Management Hub 2.0

Lenovo XClarity Management Hub 2.0 ใช้ใบรับรอง SSL ในการสร้างการสื่อสารที่ปลอดภัยและน่าเชื่อถือระหว่างฮับการจัดการและอุปกรณ์ที่มีการจัดการ รวมถึงการสื่อสารกับฮับการจัดการโดยผู้ใช้หรือกับบริการอื่น ตามค่าเริ่มต้น XClarity Management Hub 2.0 และพอร์ทัล XClarity Orchestrator จะใช้ใบรับรองที่สร้างโดย XClarity Orchestrator ที่ลงนามด้วยตนเองและออกให้โดยผู้ให้บริการออกใบรับรองภายใน

ตรวจสอบโดย Corneliu P, Stefan J: 4 ธ.ค. 2023

ข้อควรสนใจ
การจัดการใบรับรองด้านความปลอดภัยจำเป็นต้องมีความเข้าใจพื้นฐานเกี่ยวกับมาตรฐาน SSL และใบรับรอง SSL รวมทั้งต้องทราบว่าใบรับรองเหล่านี้คืออะไรและมีวิธีการจัดการอย่างไร สำหรับข้อมูลทั่วไปเกี่ยวกับใบรับรองคีย์สาธารณะ โปรดดู เว็บเพจ X.509 ใน Wikipedia และ เว็บเพจ Internet X.509 Public Key Infrastructure Certificate และ Certificate Revocation List (CRL) Profile (RFC5280)

ใบรับรองเซิร์ฟเวอร์เริ่มต้น ซึ่งถูกสร้างขึ้นโดยไม่ซ้ำกันในทุกอินสแตนซ์ของ XClarity Management Hub 2.0 จะมอบการรักษาความปลอดภัยที่เพียงพอสำหรับสภาพแวดล้อมต่างๆ มากมาย คุณสามารถเลือกที่จะให้ XClarity Management Hub 2.0 จัดการใบรับรองให้คุณ หรือคุณสามารถรับบทบาทที่ใช้งานอยู่เพิ่มเติมได้โดยกำหนดใบรับรองเซิร์ฟเวอร์เองและแทนที่ใบรับรองเซิร์ฟเวอร์ XClarity Management Hub 2.0 จะให้ตัวเลือกสำหรับการกำหนดใบรับรองเองสำหรับสภาพแวดล้อมของคุณ ตัวอย่างเช่น คุณสามารถเลือก:

  • สร้างคีย์คู่ใหม่โดยการสร้างผู้ให้บริการออกใบรับรองภายในและ/หรือใบรับรองเซิร์ฟเวอร์ปลายทางขึ้นมาใหม่ที่ใช้ค่าที่เฉพาะเจาะจงกับองค์กรของคุณ

  • สร้างคำขอการลงนามใบรับรอง (CSR) ที่สามารถส่งไปยังผู้ให้บริการออกใบรับรองที่คุณเลือกเพื่อลงนามใบรับรองที่กำหนดเอง ซึ่งสามารถอัปโหลดไปยังฮับการจัดการเพื่อใช้เป็นใบรับรองเซิร์ฟเวอร์ปลายทางสำหรับบริการที่โฮสต์ทั้งหมด

  • ดาวน์โหลดใบรับรองเซิร์ฟเวอร์ไปยังระบบภายในเพื่อให้คุณสามารถนำเข้าใบรับรองนั้นลงในรายการใบรับรองที่เชื่อถือได้ของเว็บเบราเซอร์

XClarity Management Hub 2.0 ให้บริการหลายอย่างที่ยอมรับการเชื่อมต่อ SSL/TLS ขาเข้า เมื่อไคลเอ็นต์ เช่น เว็บเบราเซอร์ เชื่อมต่อกับบริการใดบริการหนึ่งเหล่านี้ ฮับการจัดการจะระบุ ใบรับรองเซิร์ฟเวอร์ เพื่อให้ไคลเอ็นต์ที่พยายามเชื่อมต่อระบุเซิร์ฟเวอร์ได้ ไคลเอ็นต์ควรเก็บรักษารายการใบรับรองที่ตัวเองเชื่อถือ หากใบรับรองเซิร์ฟเวอร์ของฮับการจัดการไม่รวมอยู่ในรายการของไคลเอ็นต์ ไคลเอ็นต์จะตัดการเชื่อมต่อจากฮับการจัดการเพื่อหลีกเลี่ยงการแลกเปลี่ยนข้อมูลที่มีความละเอียดอ่อนด้านการรักษาความปลอดภัยกับแหล่งที่ไม่น่าเชื่อถือ

XClarity Management Hub 2.0 ทำหน้าที่เป็นไคลเอ็นต์เมื่อสื่อสารกับอุปกรณ์ที่ได้รับการจัดการและบริการภายนอก เมื่อเกิดกรณีดังกล่าว อุปกรณ์ที่มีการจัดการหรือบริการภายนอกจะให้ใบรับรองของเซิร์ฟเวอร์เพื่อที่จะรับการตรวจสอบโดยฮับการจัดการ ฮับการจัดการจะเก็บรักษารายการใบรับรองที่ตัวเองเชื่อถือ หาก ใบรับรองที่เชื่อถือได้ ที่อุปกรณ์ที่มีการจัดการหรือบริการภายนอกนั้นระบุไม่อยู่ในรายการ ฮับการจัดการจะตัดการเชื่อมต่อกับอุปกรณ์ที่มีการจัดการหรือบริการภายนอกเพื่อหลีกเลี่ยงการแลกเปลี่ยนข้อมูลที่มีความละเอียดอ่อนด้านการรักษาความปลอดภัยกับแหล่งที่ไม่น่าเชื่อถือ

ใบรับรองเซิร์ฟเวอร์

ระหว่างการบูตเริ่มต้น ระบบจะสร้างคีย์และใบรับรองที่ลงนามด้วยตนเองที่ไม่ซ้ำกัน รายการเหล่านี้จะใช้เป็นผู้ให้บริการออกใบรับรองรูท ซึ่งสามารถจัดการได้ในหน้าหน่วยงานด้านใบรับรองในการตั้งค่าการรักษาความปลอดภัย XClarity Management Hub 2.0 ไม่จำเป็นต้องสร้างใบรับรองรูทนี้ใหม่ เว้นแต่คีย์จะถูกบุกรุก หรือหน่วยงานของคุณมีนโยบายที่กำหนดให้เปลี่ยนใบรับรองทั้งหมดเป็นระยะ (ดูที่ การสร้างใบรับรองเซิร์ฟเวอร์ฮับการจัดการของ XClarity Management Hub 2.0)

นอกจากนี้ ระหว่างการตั้งค่าเริ่มต้น จะมีการสร้างคีย์ที่แยกต่างหากและใบรับรองเซิร์ฟเวอร์ที่สร้างและลงนามโดยหน่วยงานด้านใบรับรองภายใน ใบรับรองนี้จะใช้เป็นใบรับรองเซิร์ฟเวอร์ฮับการจัดการตามค่าเริ่มต้น ซึ่งจะสร้างใหม่โดยอัตโนมัติในแต่ละครั้งที่ XClarity Management Hub 2.0 ตรวจพบว่าที่อยู่ IP, ชื่อโฮสต์ หรือชื่อโดเมนมีการเปลี่ยนแปลง เพื่อทำให้แน่ใจว่าใบรับรองมีที่อยู่ที่ถูกต้องสำหรับเซิร์ฟเวอร์ ซึ่งสามารถกำหนดเองและสร้างตามความต้องการ (ดูที่ การสร้างใบรับรองเซิร์ฟเวอร์ฮับการจัดการของ XClarity Management Hub 2.0)

คุณสามารถเลือกใช้ใบรับรองเซิร์ฟเวอร์ที่ลงนามภายนอกแทนใบรับรองเซิร์ฟเวอร์ที่ลงนามด้วยตนเองตามค่าเริ่มต้นโดยสร้างคำขอการลงนามใบรับรอง (CSR) ให้ลงนาม CSR โดยผู้ให้บริการออกใบรับรองรูทในเชิงพาณิชย์หรือส่วนตัว จากนั้นนำเข้ากลุ่มใบรับรองทั้งหมดลงในฮับการจัดการ (ดู การติดตั้งใบรับรองเซิร์ฟเวอร์ฮับการจัดการที่ได้รับการลงนามจากภายนอกและเชื่อถือได้ XClarity Management Hub 2.0)

หากคุณเลือกที่จะใช้ใบรับรองเซิร์ฟเวอร์ที่ลงนามด้วยตนเองเริ่มต้น ขอแนะนำให้คุณนำเข้าใบรับรองเซิร์ฟเวอร์ในเว็บเบราเซอร์เป็นหน่วยงานด้านใบรับรองรูทที่เชื่อถือได้ เพื่อหลีกเลี่ยงข้อความแสดงข้อผิดพลาดของใบรับรองในเบราเซอร์ของคุณ (ดู การนำเข้าใบรับรองเซิร์ฟเวอร์ฮับการจัดการของ XClarity Management Hub 2.0 ลงในเว็บเบราเซอร์)