安装可信的外部签署 XClarity Management Hub 2.0 服务器证书

注意事项​

最佳做法是始终使用 v3 签名证书。

必须根据最近为 Management Hub 生成的证书签名请求来创建外部签署的服务器证书。

外部签署的服务器证书内容必须是包含整个 CA 签名链（其中包括 CA 的根证书、任何中间证书和服务器证书）的证书捆绑包。

如果新服务器证书未由可信的第三方签署，则下次连接到 XClarity Management Hub 2.0 时，Web 浏览器将显示安全消息和对话框，提示您将新证书纳入浏览器。要避免显示安全消息，可将服务器证书导入到 Web 浏览器的可信证书列表中（请参阅将 XClarity Management Hub 2.0 服务器证书导入到 Web 浏览器中）。

随后将自动刷新 Web 浏览器以接受新证书。

安装可信的外部签署服务器证书​

要生成并安装外部签署的服务器证书，请完成以下步骤。

1. 创建一个证书签名请求并将文件保存到本地系统。

   1. 在安全性视图的上下文菜单中单击证书。

   2. 在生成证书签名请求（CSR）面板中，提供每个字段的值，然后单击生成 CSR 文件。

      • “组织”通常是拥有证书的公司的合法注册名称。应包含 Ltd.、Inc. 或 Corp 等后缀（例如，ACME International Ltd.）。

      • “组织单位”是拥有证书的公司的部门（例如，ABC 部门）。

      • “通用名称”通常为使用证书的服务器的完全限定域名（FQDN）或 IP 地址（例如，www.domainname.com 或 192.0.2.0）。该值长度不得超过 63 个字符。

      • 在生成的 CSR 中，您可以在 X.509“subjectAltName”扩展名中自定义主题备用名称。如果在 CSR 中提供一个或多个主题备用名称，则在 CSR 中仅存储您提供的主题备用名称。您可以提供以下类型的主题备用名称。确保指定的名称对所选的类型有效。仅在生成 CSR 后才会验证指定的主题备用名称（基于指定的类型）并将其添加到 CSR。

        • DNS（使用主机名或 FQDN，例如 hostname.labs.company.com）
        • IP 地址（例如，192.0.2.0）
        • 邮箱（例如，example@company.com）
        如果未提供主题备用名称，则会使用 Management Hub 中的默认名称和类型。

        • IP 地址。当前的 Management Hub IP 地址

        • DNS 名称。Management Hub 主机名

        • DNS 名称。如果提供了域名，则为 Management Hub FQDN。否则，此字段为空。

        注意

        主题备用名称必须包含 Management Hub 的主机名或完全限定域名（FQDN）以及 IP 地址，并且主题名称必须设置为 Management Hub 的主机名或 FQDN。为确保生成的证书完整，在开始 CSR 过程之前，请验证这些必填字段是否存在且正确。缺少证书数据可能会导致在尝试将 Management Hub 连接到 Lenovo XClarity Orchestrator 时连接不受信任。
      重要

      • 在继续之前，确认新生成的证书在主题备用名称中包含 FQDN 和 IP 地址。

      • 确保将新生成的证书配置为既用作服务器证书 又用作客户端证书。

2. 向可信证书颁发机构（CA）提供 CSR。CA 签署 CSR 并返回一个服务器证书。

   注意

   CSR 中存储的所有主题备用名称必须用于签署 CSR 和生成 Web 证书。

3. 将外部签署的服务器证书和 CA 证书导入到 XClarity Management Hub 2.0 中以替换当前服务器证书。

   1. 在证书签名请求（CSR）面板中，单击导入证书以显示导入证书对话框。

   2. 插入外部签署的服务器证书（PEM 格式）。必须提供从服务器证书到根 CA 证书的完整证书链。

   3. 单击导入将服务器证书存储在 Management Hub 信任存储区中。

      注意

      在 Management Hub 上的 CSR 中存储的主题备用名称必须与要导入的服务器证书中存储的主题备用名称完全匹配。如果不匹配（例如，CSR/签名证书中的 IP 地址与 Management Hub 中的 IP 地址不同），则导入和安装服务器证书将成功，但可能会导致连接不受信任（因此无法访问用户界面）。