为适用于边缘客户端设备的 Management Hub 安装可信的外部签署服务器证书
您可以选择使用由私人或商业证书颁发机构(CA)签署的可信服务器证书。要使用外部签署的服务器证书,请生成证书签名请求(CSR),然后导入所得的服务器证书以替换现有服务器证书。
开始之前
注意
- 如果使用新的根 CA 安装外部签署的 Lenovo XClarity Management Hub 服务器证书,Management Hub 会失去与受管设备的连接,因此您必须重新管理这些设备。如果在不更改根 CA 的情况下安装外部签署的 Lenovo XClarity Management Hub 服务器证书(例如,当证书过期时),则无需重新管理设备。
- 如果在生成 CSR 之后、导入已签名的服务器证书之前添加了新设备,则必须重新启动这些设备才能接收新的服务器证书。
关于本任务
最佳做法是始终使用 v3 签名证书。
必须从使用生成 CSR 文件按钮最新生成的证书签名请求来创建外部签署的服务器证书。
外部签署的服务器证书内容必须是包含整个 CA 签名链(其中包括 CA 的根证书、任何中间证书和服务器证书)的证书捆绑包。
如果新服务器证书未由可信的第三方签署,则下次连接到 Lenovo XClarity Management Hub 时,Web 浏览器将显示安全消息和对话框,提示您将新证书纳入浏览器。要避免显示安全消息,可将服务器证书导入到 Web 浏览器的可信证书列表中(请参阅将服务器证书导入到 Web 浏览器中)。
Management Hub 在不终止当前会话的情况下,开始使用新的服务器证书。新会话将以新证书建立。要使用正在使用的新证书,请重新启动 Web 浏览器。
重要
修改服务器证书后,必须单击 Ctrl+F5 来刷新 Web 浏览器,然后重新建立与 Management Hub 的连接,从而让所有已建立的用户会话接受新证书。
过程
要生成并安装外部签署的服务器证书,请完成以下步骤。
- 创建一个证书签名请求并将文件保存到本地系统。
- 从 Management Hub 菜单栏中,单击安全性(
) > 服务器证书,以显示“生成证书签名请求”卡。
- 在“生成证书签名请求(CSR)”卡中,填写请求的字段。
- 与证书组织关联的来源国家或地区的两字母 ISO 3166 代码(例如,美国为 US)。
- 与证书关联的州或省全名(例如,California 或 New Brunswick)。
- 与证书关联的城市全名(例如,San Jose)。该值长度不得超过 50 个字符。
- 拥有证书的组织(公司)。通常为公司的合法注册名称。名称中应包含 Ltd.、Inc. 或 Corp 等后缀(例如,ACME International Ltd.)。该值长度不得超过 60 个字符。
- (可选)拥有证书的组织单位(例如,ABC 部门)。该值长度不得超过 60 个字符。
- 证书所有者的公用名。这必须是正在使用证书的服务器的主机名。该值长度不得超过 63 个字符。注目前,该属性对证书没有影响。
- (可选)生成 CSR 时在 X.509“subjectAltName”扩展名中自定义、删除和添加的主题备用名称。仅在生成 CSR 后才会验证指定的主题备用名称(基于指定的类型)并将其添加到 CSR。
默认情况下,Management Hub 会根据 Management Hub 访客操作系统的网络接口发现的 IP 地址和主机名自动为该 CSR 定义主题备用名称。
注意主题备用名称必须包含 Management Hub 的完全限定域名(FQDN)或 IP 地址,并且主题名称必须设置为 Management Hub 的 FQDN。为确保生成的证书完整,在开始 CSR 过程之前,请验证这些必填字段是否存在且正确。缺少证书数据可能会导致在尝试将 Management Hub 连接到Lenovo XClarity Orchestrator 时连接不受信任。 指定的名称必须对所选的类型有效。- DNS(使用 FQDN,例如 hostname.labs.company.com)
- IP 地址(例如,192.0.2.0)
- 邮箱(例如,example@company.com)
- 从 Management Hub 菜单栏中,单击安全性(
提供反馈