使用安全证书
Lenovo XClarity Orchestrator 使用 SSL 证书在 XClarity Orchestrator 与其管理的资源管理器(如 Lenovo XClarity Administrator 或 Schneider Electric EcoStruxure IT Expert)之间建立安全可信的通信以及用户或其他服务与 XClarity Orchestrator 的通信。默认情况下,XClarity Orchestrator 和 Lenovo XClarity Administrator 使用 XClarity Orchestrator 生成的由内部证书颁发机构颁发的自签名证书。
开始之前
本节适用于对 SSL 标准和 SSL 证书的概念及管理有基本了解的管理员。有关公钥证书的常规信息,请参阅 Wikipedia 中的“X.509”网页和 “Internet X.509 公钥基础结构证书 和证书吊销列表(CRL)Profile(RFC5280)”网页。
关于本任务
- 通过重新生成内部证书颁发机构证书和/或具有组织特定值的最终服务器证书来生成一对新密钥。
- 生成证书签名请求(CSR),该 CSR 可发送到所选的证书颁发机构以签署自定义证书并上传到 XClarity Orchestrator,用作其所有托管服务的最终服务器证书。
- 将服务器证书下载到本地系统,以便将该证书导入到 Web 浏览器的可信证书列表中。
XClarity Orchestrator 提供多个接受传入 SSL/TLS 连接的服务。客户端(如 Web 浏览器)连接到其中一个服务时,XClarity Orchestrator 将提供其服务器证书 以供尝试连接的客户端识别。客户端应保留一个其信任的证书的列表。如果 XClarity Orchestrator 服务器证书未包含在客户端的列表中,客户端将断开与 XClarity Orchestrator 的连接以避免与不可信来源进行任何安全敏感信息的交换。
在与资源管理器和外部服务通信时,XClarity Orchestrator 充当客户端。在这种情况下,资源管理器或外部服务会提供其服务器证书供 XClarity Orchestrator 验证。XClarity Orchestrator 会维护一个信任证书列表。如果资源管理器或外部服务提供的可信证书 未包含在该列表中,XClarity Orchestrator 将断开与受管设备或外部服务的连接以避免与不可信来源进行任何安全敏感信息的交换。
- 服务器证书。在初始引导期间会生成唯一密钥和自签名证书。这些证书的颁发机构将视为默认的根证书颁发机构,可在 XClarity Orchestrator 安全设置中的“证书颁发机构”页面中进行管理。除非密钥已泄露或如果您的组织有策略要求必须定期更换所有证书,否则无需重新生成此根证书(请参阅重新生成内部签署的 XClarity Orchestrator 服务器证书)。
此外,在初始设置期间还会生成一个单独的密钥,并创建一个由内部证书颁发机构签名的服务器证书。此证书用作默认的 XClarity Orchestrator 服务器证书。每次 XClarity Orchestrator 检测到网络地址(IP 或 DNS 地址)变化时将自动重新生成该证书,以确保该证书包含服务器的正确地址。此外也可按需定制和生成该证书(请参阅重新生成内部签署的 XClarity Orchestrator 服务器证书)。
可选择使用外部签署的服务器证书而不使用默认的自签名服务器证书。为此,需要生成证书签名请求(CSR),让 CSR 由私有或商业证书根证书颁发机构签名,然后将完整的证书链导入 XClarity Orchestrator 中(请参阅安装可信的外部签署 XClarity Orchestrator 服务器证书)。
如果选择使用默认的自签名服务器证书,建议在 Web 浏览器中导入服务器证书作为可信根证书,以避免浏览器中出现证书错误消息(请参阅将服务器证书导入到 Web 浏览器中)。
- 可信证书
此信任存储区可管理在 XClarity Orchestrator 用作客户端时用于与本地资源建立安全连接的证书。本地资源的示例包括受管资源管理器、转发事件时的本地软件等。
- 外部服务证书。此信任存储区可管理在 XClarity Orchestrator 用作客户端时用于与外部服务建立安全连接的证书。外部服务的示例包括用于检索保修信息或创建服务凭单的 Lenovo 在线支持服务、可将事件转发到的外部软件(例如 Splunk)。此信任存储区包含由广受信任且世界知名的证书颁发机构提供商(例如 Digicert 和 Globalsign)的根证书颁发机构颁发的预配置可信证书。
当配置 XClarity Orchestrator 来使用需要连接到其他外部服务的功能时,请参阅相应文档以确定是否需要手动将证书添加到此信任存储区。
请注意,除非同时将此信任存储区中的证书添加到主要“可信证书”信任存储区,否则这些证书在与其他服务(例如 LDAP)建立连接时不会受信任。从此信任存储区删除证书会导致这些服务无法成功运行。