跳至主要内容

適用於邊緣用戶端裝置的 Lenovo XClarity Management Hub 管理安全憑證

Lenovo XClarity Management Hub 使用 SSL 憑證建立 Lenovo XClarity Management Hub 及其受管理裝置之間安全且受信任的通訊,以及使用者與 Lenovo XClarity Management Hub 的通訊或與不同服務的通訊。依預設,Lenovo XClarity Management HubXClarity Orchestrator 使用內部憑證管理中心自行簽署並發出的 XClarity Orchestrator 產生的憑證。

開始之前

本節適用於對 SSL 標準和 SSL 憑證有基本瞭解(包括它們是什麼及如何管理它們)的管理者。如需公開金鑰憑證的一般資訊,請參閱 Wikipedia 中的 X.509 網頁網際網路 X.509 公開金鑰基礎架構憑證 和憑證撤銷清單 (CRL) 設定檔 (RFC5280) 網頁

關於此作業

在每個 Lenovo XClarity Management Hub 實例唯一產生的預設伺服器憑證可為許多環境提供足夠的安全。您可以選擇讓 Lenovo XClarity Management Hub 為您管理憑證,或者您可以更主動地自訂和取代伺服器憑證。Lenovo XClarity Management Hub 會針對您的環境提供自訂憑證的選項。例如,您可以選擇:
  • 透過重新產生內部憑證管理中心和/或使用組織特有值的最終伺服器憑證來產生一對新金鑰。
  • 產生憑證簽章要求 (CSR),然後將之傳送至您選擇的憑證管理中心以簽署自訂憑證,再將該自訂憑證上傳至 Lenovo XClarity Management Hub 以用來做為其所有裝載服務的最終伺服器憑證。
  • 將伺服器憑證下載至本端系統,讓您可以將該憑證匯入 Web 瀏覽器的受信任憑證清單。

Lenovo XClarity Management Hub 提供多個接受傳入 SSL/TLS 連線的服務。當用戶端(例如 Web 瀏覽器)與其中一個服務連線時,Lenovo XClarity Management Hub 會提供它的伺服器憑證,以供嘗試連線的用戶端識別。用戶端應該自行維護信任的憑證清單。如果 Lenovo XClarity Management Hub 的伺服器憑證不在用戶端的清單中,則用戶端應中斷來自 Lenovo XClarity Management Hub 的連線,以避免與不受信任的來源交換任何安全性敏感資訊。

在與受管理的裝置和外部服務通訊時,Lenovo XClarity Management Hub 會充當用戶端。發生這種情況時,受管理裝置或外部服務會提供其伺服器憑證以供 Lenovo XClarity Management Hub 驗證。Lenovo XClarity Management Hub 會維護其信任的憑證清單。如果受管理裝置或外部服務提供的受信任憑證不在清單內,Lenovo XClarity Management Hub 應中斷來自受管理裝置或外部服務的連線,以避免與不受信任的來源交換任何安全性敏感資訊。

Lenovo XClarity Management Hub 服務使用以下類別的憑證,與之連線的用戶端應信任這些憑證。