跳至主要内容

使用安全憑證

Lenovo XClarity Orchestrator 使用 SSL 憑證建立 XClarity Orchestrator 及其受管理資源管理器(例如,Lenovo XClarity AdministratorSchneider Electric EcoStruxure IT Expert)之間安全且受信任的通訊,以及使用者與 XClarity Orchestrator 的通訊或與不同服務的通訊。依預設,XClarity Orchestrator 和 Lenovo XClarity Administrator 使用內部憑證管理中心自行簽署並發出的 XClarity Orchestrator 產生的憑證。

開始之前

本節適用於對 SSL 標準和 SSL 憑證有基本瞭解(包括它們是什麼及如何管理它們)的管理者。如需公開金鑰憑證的一般資訊,請參閱 Wikipedia 中的 X.509 網頁網際網路 X.509 公開金鑰基礎架構憑證 和憑證撤銷清單 (CRL) 設定檔 (RFC5280) 網頁

關於此作業

在每個 XClarity Orchestrator 實例唯一產生的預設伺服器憑證可為許多環境提供足夠的安全。您可以選擇讓 XClarity Orchestrator 為您管理憑證,或者您可以更主動地自訂和取代伺服器憑證。XClarity Orchestrator 會針對您的環境提供自訂憑證的選項。例如,您可以選擇:
  • 透過重新產生內部憑證管理中心和/或使用組織特有值的最終伺服器憑證來產生一對新金鑰。
  • 產生憑證簽章要求 (CSR),然後將之傳送至您選擇的憑證管理中心以簽署自訂憑證,再將該自訂憑證上傳至 XClarity Orchestrator 以用來做為其所有裝載服務的最終伺服器憑證。
  • 將伺服器憑證下載至本端系統,讓您可以將該憑證匯入 Web 瀏覽器的受信任憑證清單。

XClarity Orchestrator 提供多個接受傳入 SSL/TLS 連線的服務。當用戶端(例如 Web 瀏覽器)與其中一個服務連線時,XClarity Orchestrator 會提供它的伺服器憑證,以供嘗試連線的用戶端識別。用戶端應該自行維護信任的憑證清單。如果 XClarity Orchestrator 的伺服器憑證不在用戶端的清單中,則用戶端應中斷來自 XClarity Orchestrator 的連線,以避免與不受信任的來源交換任何安全性敏感資訊。

在與資源管理器和外部服務通訊時,XClarity Orchestrator 會充當用戶端。發生這種情況時,資源管理器或外部服務會提供其伺服器憑證以供 XClarity Orchestrator 驗證。XClarity Orchestrator 會維護其信任的憑證清單。如果資源管理器或外部服務提供的受信任憑證不在清單內,XClarity Orchestrator 會中斷來自受管理裝置或外部服務的連線,以避免與不受信任的來源交換任何安全性敏感資訊。

XClarity Orchestrator 服務使用以下類別的憑證,與之連線的用戶端應信任這些憑證。
  • 伺服器憑證。在初始開機期間會產生唯一金鑰和自簽憑證。這些會用來做為預設的主要憑證管理中心,可在 XClarity Orchestrator 安全設定中的「憑證管理中心」頁面中管理。不需要重新產生此主要憑證,除非金鑰遭到破解,或是您的組織規定必須定期更換所有憑證(請參閱重新產生內部簽署的 XClarity Orchestrator 伺服器憑證)。

    同樣,在初始設定期間會產生個別金鑰並建立由內部憑證管理中心簽署的伺服器憑證。將這個憑證當做預設的 XClarity Orchestrator 伺服器憑證。每次 XClarity Orchestrator 偵測到其網路位址(IP 或 DNS 位址)已變更時,會自動重新產生憑證,以確保憑證包含了伺服器的正確位址。可以根據需要自訂和產生憑證(請參閱重新產生內部簽署的 XClarity Orchestrator 伺服器憑證)。

    您可以選擇使用外部簽署伺服器憑證而不是預設的自簽伺服器憑證;若要這麼做,您需要重新產生憑證簽章要求 (CSR),讓 CSR 由私人或商業憑證主要憑證管理中心簽署,然後將完整的憑證鏈匯入 XClarity Orchestrator(請參閱安裝受信任的外部簽署 XClarity Orchestrator 伺服器憑證)。

    如果您選擇使用預設的自簽伺服器憑證,建議您在 Web 瀏覽器中匯入伺服器憑證做為受信任主要管理中心,以避免瀏覽器中的憑證錯誤訊息(請參閱將伺服器憑證匯入 Web 瀏覽器)。

XClarity Orchestrator 用戶端使用以下類別(信任儲存庫)的憑證。
  • 受信任憑證

    此信任儲存庫可管理當 XClarity Orchestrator 做為用戶端時用於建立與本端資源的安全連線的憑證。本端資源的範例包括受管理資源管理器、轉遞事件時的本端軟體等。

  • 外部服務憑證。此信任儲存庫可管理當 XClarity Orchestrator 做為用戶端時用於建立與外部服務的安全連線的憑證。外部服務的範例包括用於擷取保固資訊或建立服務通行證的線上 Lenovo 支援服務、可接收轉遞事件的外部軟體(例如 Splunk)。此信任儲存庫包含某些普遍受信任且世界知名憑證管理中心供應商(例如 Digicert 和 Globalsign)的主要憑證管理中心所簽發的預先配置受信任憑證。

    當您配置 XClarity Orchestrator 使用需要與另一個外部服務連線的功能時,請參閱文件以判斷是否需要手動新增憑證至此信任儲存庫。

    請注意,在為其他服務(例如 LDAP)建立連線時,不會信任這個信任儲存庫中的憑證,除非您將這些憑證新增到主要受信任憑證的信任儲存庫。從這個信任儲存庫移除憑證,以免這些服務作業成功。

  • 新增外部服務的受信任憑證
    這些憑證用於與外部服務建立信任關係。例如,向 Lenovo 擷取保固資訊、建立通行證、轉遞事件至外部應用程式(例如 Splunk)以及使用外部 LDAP 伺服器時,便會使用此信任儲存庫中的憑證。
  • 新增內部服務的受信任憑證
    Lenovo XClarity Orchestrator 充當本端資源(例如資源管理器、轉遞事件至本端軟體,以及內嵌 LDAP 伺服器)的用戶端時,這些憑證用於與這些資源建立信任關係。此外,該信任儲存庫內有內部 CA 憑證和自訂外部簽署伺服器憑證(如有安裝)的 CA 憑證,可用於支援內部 XClarity Orchestrator 通訊。
  • 安裝受信任的外部簽署 XClarity Orchestrator 伺服器憑證
    您可以選擇使用私密或商業憑證管理中心 (CA) 簽署的受信任伺服器憑證。若要使用外部簽署的伺服器憑證,請產生憑證簽章要求 (CSR),然後匯入產生的伺服器憑證,以取代現有伺服器憑證。
  • 重新產生內部簽署的 XClarity Orchestrator 伺服器憑證
    您可以產生新的伺服器憑證以取代目前的內部簽署 Lenovo XClarity Orchestrator 伺服器憑證;或是復原 XClarity Orchestrator 產生的憑證(如果 XClarity Orchestrator 目前使用自訂的外部簽署伺服器憑證的話)。新的內部簽署伺服器憑證供 XClarity Orchestrator 用於 HTTPS 存取。
  • 將伺服器憑證匯入 Web 瀏覽器
    您可以將 PEM 格式的目前伺服器憑證副本儲存至您的本端系統。然後您可以將憑證匯入 Web 瀏覽器的受信任憑證清單或匯入其他應用程式(例如 Lenovo XClarity MobileLenovo XClarity Integrator),以避免 Web 瀏覽器在您存取 Lenovo XClarity Orchestrator 時出現安全性警告訊息。