为适用于边缘客户端设备的 XClarity Management Hub 安装可信的外部签署服务器证书
您可以选择使用由私人或商业证书颁发机构(CA)签署的可信服务器证书。要使用外部签署的服务器证书,请生成证书签名请求(CSR),然后导入所得的服务器证书以替换现有服务器证书。
开始之前
注意
- 如果使用新的根 CA 安装外部签署的 Lenovo XClarity Management Hub 服务器证书,XClarity Management Hub 会失去与受管设备的连接,因此您必须重新管理这些设备。如果在不更改根 CA 的情况下安装外部签署的 Lenovo XClarity Management Hub 服务器证书(例如,当证书过期时),则无需重新管理设备。
- 如果在生成 CSR 之后、导入已签名的服务器证书之前添加了新设备,则必须重新启动这些设备才能接收新的服务器证书。
关于本任务
最佳做法是始终使用 v3 签名证书。
必须从使用生成 CSR 文件按钮最新生成的证书签名请求来创建外部签署的服务器证书。
外部签署的服务器证书内容必须是包含整个 CA 签名链(其中包括 CA 的根证书、任何中间证书和服务器证书)的证书捆绑包。
如果新服务器证书未由可信的第三方签署,则下次连接到 Lenovo XClarity Management Hub 时,Web 浏览器将显示安全消息和对话框,提示您将新证书纳入浏览器。要避免显示安全消息,可将服务器证书导入到 Web 浏览器的可信证书列表中(请参阅为适用于边缘客户端设备的 Lenovo XClarity Management Hub 将服务器证书导入到 Web 浏览器中)。
XClarity Management Hub 在不终止当前会话的情况下,开始使用新的服务器证书。新会话将以新证书建立。要使用正在使用的新证书,请重新启动 Web 浏览器。
重要
修改服务器证书后,必须单击 Ctrl+F5 来刷新 Web 浏览器,然后重新建立与 XClarity Management Hub 的连接,从而让所有已建立的用户会话接受新证书。
过程
要生成并安装外部签署的服务器证书,请完成以下步骤。
- 创建一个证书签名请求并将文件保存到本地系统。
- 从 XClarity Management Hub 菜单栏中,单击安全性(
) > 服务器证书,以显示“生成证书签名请求”卡。
- 在“生成证书签名请求(CSR)”卡中,填写请求的字段。
- 与证书组织关联的来源国家或地区的两字母 ISO 3166 代码(例如,美国为 US)。
- 与证书关联的州或省全名(例如,California 或 New Brunswick)。
- 与证书关联的城市全名(例如,San Jose)。该值长度不得超过 50 个字符。
- 拥有证书的组织(公司)。通常为公司的合法注册名称。名称中应包含 Ltd.、Inc. 或 Corp 等后缀(例如,ACME International Ltd.)。该值长度不得超过 60 个字符。
- (可选)拥有证书的组织单位(例如,ABC 部门)。该值长度不得超过 60 个字符。
- 证书所有者的公用名。这必须是正在使用证书的服务器的主机名。该值长度不得超过 63 个字符。注目前,该属性对证书没有影响。
- (可选)生成 CSR 时在 X.509“subjectAltName”扩展名中自定义、删除和添加的主题备用名称。仅在生成 CSR 后才会验证指定的主题备用名称(基于指定的类型)并将其添加到 CSR。
默认情况下,XClarity Management Hub 会根据 XClarity Management Hub 访客操作系统的网络接口发现的 IP 地址和主机名自动为该 CSR 定义主题备用名称。
注意主题备用名称必须包含 Management Hub 的完全限定域名(FQDN)或 IP 地址,并且主题名称必须设置为 Management Hub 的 FQDN。为确保生成的证书完整,在开始 CSR 过程之前,请验证这些必填字段是否存在且正确。缺少证书数据可能会导致在尝试将 Management Hub 连接到Lenovo XClarity Orchestrator 时连接不受信任。 指定的名称必须对所选的类型有效。- DNS(使用 FQDN,例如 hostname.labs.company.com)
- IP 地址(例如,192.0.2.0)
- 邮箱(例如,example@company.com)
- 从 XClarity Management Hub 菜单栏中,单击安全性(
提供反馈