Skip to main content

การติดตั้งใบรับรองเซิร์ฟเวอร์ฮับการจัดการที่ได้รับการลงนามจากภายนอกและเชื่อถือได้ XClarity Management Hub 2.0

คุณสามารถเลือกใช้ใบรับรองเซิร์ฟเวอร์ที่เชื่อถือได้ที่มีการลงนามโดยหน่วยงานด้านใบรับรอง (CA) เอกชนหรือพาณิชย์ ในการใช้ใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอก ให้สร้างคำขอการลงนามใบรับรอง (CSR) แล้วนำเข้าใบรับรองเซิร์ฟเวอร์ที่ได้มาเพื่อแทนที่ใบรับรองเซิร์ฟเวอร์ที่มีอยู่

ตรวจสอบโดย Corneliu P, Stefan J: 4 ธ.ค. 2023

ข้อควรพิจารณา

ข้อควรสนใจ

  • หากคุณติดตั้งใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอกโดยใช้ CA รูทใหม่ ฮับการจัดการจะสูญเสียการเชื่อมต่อกับอุปกรณ์ที่มีการจัดการ และคุณต้องจัดการอุปกรณ์ใหม่ หากคุณติดตั้งใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอกโดยไม่เปลี่ยน CA รูท (ตัวอย่างเช่น เมื่อใบรับรองหมดอายุ) คุณจะไม่ต้องจัดการอุปกรณ์ใหม่

  • หากมีการเพิ่มอุปกรณ์ใหม่หลังจากสร้าง CSR และก่อนที่จะนําเข้าใบรับรองเซิร์ฟเวอร์ที่ลงนาม ต้องรีสตาร์ทอุปกรณ์เหล่านั้นเพื่อรับใบรับรองเซิร์ฟเวอร์ใหม่

แนวทางปฏิบัติที่ดีที่สุดคือให้ใช้ใบรับรองที่ลงนาม v3 เสมอ

ต้องสร้างใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอกจากคำขอการลงนามใบรับรองที่สร้างขึ้นล่าสุดสำหรับฮับการจัดการ

เนื้อหาของใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอกต้องเป็นชุดใบรับรองที่ประกอบด้วยสายการลงนาม CA ทั้งหมด รวมทั้งใบรับรองรูทของ CA, ใบรับรองระดับกลางใดๆ และใบรับรองเซิร์ฟเวอร์

หากใบรับรองเซิร์ฟเวอร์ใหม่ไม่ได้รับการลงนามโดยบุคคลที่สามที่เชื่อถือได้ ครั้งถัดไปที่คุณเชื่อมต่อกับ XClarity Management Hub 2.0 เบราเซอร์ของคุณจะแสดงข้อความเกี่ยวกับการรักษาความปลอดภัยและกล่องโต้ตอบที่แจ้งให้คุณยอมรับใบรับรองใหม่ลงในเบราเซอร์ เพื่อหลีกเลี่ยงข้อความเกี่ยวกับการรักษาความปลอดภัย คุณสามารถนำเข้าใบรับรองเซิร์ฟเวอร์ลงในรายการใบรับรองที่เชื่อถือได้ของเว็บเบราเซอร์ (โปรดดู การนำเข้าใบรับรองเซิร์ฟเวอร์ฮับการจัดการของ XClarity Management Hub 2.0 ลงในเว็บเบราเซอร์)

ระบบจะรีเฟรชเว็บเบราเซอร์โดยอัตโนมัติเพื่อยอมรับใบรับรองใหม่

การติดตั้งใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอกที่เชื่อถือได้

ดำเนินการขั้นตอนต่อไปนี้เพื่อสร้างและติดตั้งใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอก

  1. สร้างคำขอการลงนามใบรับรองและบันทึกไฟล์ไปยังระบบภายในของคุณ

    1. คลิก ใบรับรอง จากเมนูบริบทในมุมมอง การรักษาความปลอดภัย

    2. ในแผง สร้างคำขอการลงนามใบรับรอง (CSR) ให้ระบุค่าในแต่ละฟิลด์ จากนั้นคลิก สร้างไฟล์ CSR

      • โดยปกติแล้ว หน่วยงานจะเป็นชื่อตามกฎหมายของบริษัทที่เป็นเจ้าของใบรับรอง ใส่ส่วนต่อท้าย เช่น Ltd., Inc., หรือ Corp (เช่น ACME International Ltd.)

      • หน่วยงานคือแผนกในบริษัทที่เป็นเจ้าของใบรับรอง (เช่น แผนก ABC)

      • โดยปกติแล้ว ชื่อทั่วไปคือชื่อโดเมนแบบเต็ม (FQDN) หรือที่อยู่ IP ของเซิร์ฟเวอร์ที่ใช้ใบรับรอง (เช่น www.domainname.com หรือ 192.0.2.0) ความยาวของค่านี้ต้องไม่เกิน 63 อักขระ

      • คุณสามารถปรับแต่ง Subject Alternative Name ในส่วนขยาย X.509 "subjectAltName" ใน CSR ที่แสดงผล หากคุณระบุ Subject Alternative Name อย่างน้อยหนึ่งรายการใน CSR จะมีการจัดเก็บเฉพาะ Subject Alternative Name ที่คุณระบุไว้ใน CSR เท่านั้น คุณสามารถระบุ Subject Alternative Name สำหรับประเภทต่อไปนี้ ตรวจสอบว่าชื่อที่คุณระบุถูกต้องสำหรับประเภทที่เลือก Subject Alternative Name ที่ระบุจะได้รับการตรวจสอบ (ตามประเภทที่ระบุ) และจะเพิ่มไปยัง CSR เฉพาะหลังจากที่คุณสร้าง CSR เท่านั้น

        • DNS (ใช้ชื่อโฮสต์หรือ FQDN เช่น hostname.labs.company.com)
        • ที่อยู่ IP (เช่น 192.0.2.0)
        • อีเมล (เช่น example@company.com)
        หากไม่มีการระบุ Subject Alternative Name ระบบจะใช้ชื่อและประเภทเริ่มต้นจากฮับการจัดการ

        • ที่อยู่ IP ที่อยู่ IP ของฮับการจัดการปัจจุบัน

        • ชื่อ DNS ชื่อโฮสต์ของฮับการจัดการ

        • ชื่อ DNS FQDN ของฮับการจัดการ หากมีการระบุชื่อโดเมน มิเช่นนั้นฟิลด์นี้จะว่างเปล่า

        ข้อควรสนใจ
        Subject Alternative Name ประกอบด้วยชื่อโฮสต์หรือชื่อโดเมนแบบเต็ม (FQDN) และที่อยู่ IP ของฮับการจัดการ และต้องตั้งค่า Subject Name เป็นชื่อโฮสต์หรือ FQDN ของฮับการจัดการ ตรวจสอบว่ากรอกข้อมูลในฟิลด์ที่จำเป็นเหล่านี้แล้วและมีความถูกต้องก่อนเริ่มกระบวนการ CSR เพื่อให้แน่ใจว่าใบรับรองจะเสร็จสมบูรณ์ ข้อมูลใบรับรองที่ขาดหายไปอาจส่งผลให้เกิดการเชื่อมต่อที่ไม่น่าเชื่อถือเมื่อพยายามเชื่อมต่อฮับการจัดการกับ Lenovo XClarity Orchestrator
      สำคัญ

      • ก่อนดำเนินการต่อ ให้ตรวจสอบว่าใบรับรองที่สร้างขึ้นใหม่มี FQDN และที่อยู่ IP ซึ่งเป็นส่วนหนึ่งของ Subject Alternative Name

      • ตรวจสอบให้แน่ใจว่าใบรับรองที่สร้างขึ้นใหม่ได้รับการกำหนดค่าให้ใช้เป็นทั้ง ใบรับรองเซิร์ฟเวอร์ และเป็น ใบรับรองของไคลเอ็นต์

  2. จัดหา CSR ให้กับหน่วยงานด้านใบรับรอง (CA) ที่น่าเชื่อถือ CA ลงนาม CSR และส่งกลับใบรับรองเซิร์ฟเวอร์

    ข้อควรสนใจ
    ต้องใช้ Subject Alternative Name ที่เก็บไว้ใน CSR สำหรับการลงนาม CSR และสร้างใบรับรองเว็บ

  3. นำเข้าใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอกและใบรับรอง CA ลงใน XClarity Management Hub 2.0 เพื่อแทนที่ใบรับรองเซิร์ฟเวอร์ปัจจุบัน

    1. ในแผง คำขอการลงนามใบรับรอง (CSR) ให้คลิก นำเข้าใบรับรอง เพื่อแสดงกล่องโต้ตอบ นำเข้าใบรับรอง

    2. ใส่ใบรับรองของเซิร์ฟเวอร์ที่ลงนามจากภายนอกในรูปแบบ PEM คุณต้องระบุสายใบรับรองทั้งหมด โดยเริ่มต้นด้วยใบรับรองเซิร์ฟเวอร์และลงท้ายด้วยใบรับรอง CA รูท

    3. คลิก นำเข้า เพื่อจัดเก็บใบรับรองเซิร์ฟเวอร์ในพื้นที่จัดเก็บที่น่าเชื่อถือของฮับการจัดการ

      ข้อควรสนใจ
      Subject Alternative Name ที่จัดเก็บไว้ใน CSR บนฮับการจัดการต้องตรงกับ Subject Alternative Name ที่จัดเก็บไว้ในใบรับรองของเซิร์ฟเวอร์ที่จะนำเข้า หากไม่ตรงกัน (ตัวอย่างเช่น หากที่อยู่ IP จาก CSR/ใบรับรองที่ลงนามไม่เหมือนกันกับใบรับรองจากฮับการจัดการ) การนำเข้าและติดตั้งใบรับรองเซิร์ฟเวอร์จะดำเนินการจนสำเร็จ แต่อาจส่งผลให้เกิดการเชื่อมต่อที่ไม่น่าเชื่อถือ (เช่น ไม่สามารถเข้าถึงอินเทอร์เฟซผู้ใช้ได้)