为适用于边缘客户端设备的 Lenovo XClarity Management Hub 管理安全证书
Lenovo XClarity Management Hub 使用 SSL 证书在 Lenovo XClarity Management Hub 与其受管设备之间建立安全可信的通信以及用户或其他服务与 Lenovo XClarity Management Hub 的通信。默认情况下,Lenovo XClarity Management Hub 和 XClarity Orchestrator 使用 XClarity Orchestrator 生成的由内部证书颁发机构颁发的自签名证书。
开始之前
本节适用于对 SSL 标准和 SSL 证书的概念及管理有基本了解的管理员。有关公钥证书的常规信息,请参阅 Wikipedia 中的“X.509”网页和 “Internet X.509 公钥基础结构证书 和证书吊销列表(CRL)Profile(RFC5280)”网页。
关于本任务
- 通过重新生成内部证书颁发机构证书和/或具有组织特定值的最终服务器证书来生成一对新密钥。
- 生成证书签名请求(CSR),该 CSR 可发送到所选的证书颁发机构以签署自定义证书并上传到 Lenovo XClarity Management Hub,用作其所有托管服务的最终服务器证书。
- 将服务器证书下载到本地系统,以便将该证书导入到 Web 浏览器的可信证书列表中。
Lenovo XClarity Management Hub 提供多个接受传入 SSL/TLS 连接的服务。客户端(如 Web 浏览器)连接到其中一个服务时,Lenovo XClarity Management Hub 将提供其服务器证书 以供尝试连接的客户端识别。客户端应保留一个其信任的证书的列表。如果 Lenovo XClarity Management Hub 服务器证书未包含在客户端的列表中,客户端将断开与 Lenovo XClarity Management Hub 的连接以避免与不可信来源进行任何安全敏感信息的交换。
在与受管设备和外部服务通信时,Lenovo XClarity Management Hub 充当客户端。在这种情况下,受管设备或外部服务会提供其服务器证书供 Lenovo XClarity Management Hub 验证。Lenovo XClarity Management Hub 会维护一个信任证书列表。如果受管设备或外部服务提供的可信证书 未包含在该列表中,Lenovo XClarity Management Hub 将断开该受管设备或外部服务的连接以避免与不可信来源进行任何安全敏感信息的交换。
- 服务器证书。在初始引导期间会生成唯一密钥和自签名证书。这些证书的颁发机构将视为默认的根证书颁发机构,可在 Lenovo XClarity Management Hub 安全设置中的“证书颁发机构”页面中进行管理。除非密钥已泄露或如果您的组织有策略要求必须定期更换所有证书,否则无需重新生成此根证书(请参阅重新生成自签名的 Management Hub 服务器证书)。
此外,在初始设置期间还会生成一个单独的密钥,并创建一个由内部证书颁发机构签名的服务器证书。此证书用作默认的 Lenovo XClarity Management Hub 服务器证书。每次 Lenovo XClarity Management Hub 检测到网络地址(IP 或 DNS 地址)变化时将自动重新生成该证书,以确保该证书包含服务器的正确地址。此外也可按需定制和生成该证书(请参阅重新生成自签名的 Management Hub 服务器证书)。
可选择使用外部签署的服务器证书而不使用默认的自签名服务器证书。为此,需要生成证书签名请求(CSR),让 CSR 由私有或商业证书根证书颁发机构签名,然后将完整的证书链导入 Lenovo XClarity Management Hub 中(请参阅为适用于边缘客户端设备的 Management Hub 安装可信的外部签署服务器证书)。
如果选择使用默认的自签名服务器证书,建议在 Web 浏览器中导入服务器证书作为可信根证书,以避免浏览器中出现证书错误消息(请参阅将服务器证书导入到 Web 浏览器中)。
- 操作系统部署证书。操作系统部署服务使用单独的证书来确保操作系统安装程序在部署过程中可以安全地连接到部署服务。如果密钥已泄露,可通过重新启动 Lenovo XClarity Management Hub 来重新生成密钥。