為適用於邊緣用戶端裝置的 Lenovo XClarity Management Hub 管理安全憑證
Lenovo XClarity Management Hub 使用 SSL 憑證建立 Lenovo XClarity Management Hub 及其受管理裝置之間安全且受信任的通訊,以及使用者與 Lenovo XClarity Management Hub 的通訊或與不同服務的通訊。依預設,Lenovo XClarity Management Hub 和 XClarity Orchestrator 使用內部憑證管理中心自行簽署並發出的 XClarity Orchestrator 產生的憑證。
開始之前
本節適用於對 SSL 標準和 SSL 憑證有基本瞭解(包括它們是什麼及如何管理它們)的管理者。如需公開金鑰憑證的一般資訊,請參閱 Wikipedia 中的 X.509 網頁和 網際網路 X.509 公開金鑰基礎架構憑證 和憑證撤銷清單 (CRL) 設定檔 (RFC5280) 網頁。
關於此作業
- 透過重新產生內部憑證管理中心和/或使用組織特有值的最終伺服器憑證來產生一對新金鑰。
- 產生憑證簽章要求 (CSR),然後將之傳送至您選擇的憑證管理中心以簽署自訂憑證,再將該自訂憑證上傳至 Lenovo XClarity Management Hub 以用來做為其所有裝載服務的最終伺服器憑證。
- 將伺服器憑證下載至本端系統,讓您可以將該憑證匯入 Web 瀏覽器的受信任憑證清單。
Lenovo XClarity Management Hub 提供多個接受傳入 SSL/TLS 連線的服務。當用戶端(例如 Web 瀏覽器)與其中一個服務連線時,Lenovo XClarity Management Hub 會提供它的伺服器憑證,以供嘗試連線的用戶端識別。用戶端應該自行維護信任的憑證清單。如果 Lenovo XClarity Management Hub 的伺服器憑證不在用戶端的清單中,則用戶端應中斷來自 Lenovo XClarity Management Hub 的連線,以避免與不受信任的來源交換任何安全性敏感資訊。
在與受管理的裝置和外部服務通訊時,Lenovo XClarity Management Hub 會充當用戶端。發生這種情況時,受管理裝置或外部服務會提供其伺服器憑證以供 Lenovo XClarity Management Hub 驗證。Lenovo XClarity Management Hub 會維護其信任的憑證清單。如果受管理裝置或外部服務提供的受信任憑證不在清單內,Lenovo XClarity Management Hub 應中斷來自受管理裝置或外部服務的連線,以避免與不受信任的來源交換任何安全性敏感資訊。
- 伺服器憑證。在初始開機期間會產生唯一金鑰和自簽憑證。這些會用來做為預設的主要憑證管理中心,可在 Lenovo XClarity Management Hub 安全設定中的「憑證管理中心」頁面中管理。不需要重新產生此主要憑證,除非金鑰遭到破解,或是您的組織規定必須定期更換所有憑證(請參閱為適用於邊緣用戶端裝置的 XClarity Management Hub 重新產生自簽伺服器憑證)。
同樣,在初始設定期間會產生個別金鑰並建立由內部憑證管理中心簽署的伺服器憑證。將這個憑證當做預設的 Lenovo XClarity Management Hub 伺服器憑證。每次 Lenovo XClarity Management Hub 偵測到其網路位址(IP 或 DNS 位址)已變更時,會自動重新產生憑證,以確保憑證包含了伺服器的正確位址。可以根據需要自訂和產生憑證(請參閱為適用於邊緣用戶端裝置的 XClarity Management Hub 重新產生自簽伺服器憑證)。
您可以選擇使用外部簽署伺服器憑證而不是預設的自簽伺服器憑證;若要這麼做,您需要重新產生憑證簽章要求 (CSR),讓 CSR 由私人或商業憑證主要憑證管理中心簽署,然後將完整的憑證鏈匯入 Lenovo XClarity Management Hub(請參閱為適用於邊緣用戶端裝置的 XClarity Management Hub 安裝受信任的外部簽署伺服器憑證)。
如果您選擇使用預設的自簽伺服器憑證,建議您在 Web 瀏覽器中匯入伺服器憑證做為受信任主要管理中心,以避免瀏覽器中的憑證錯誤訊息(請參閱為適用於邊緣用戶端裝置的 Lenovo XClarity Management Hub 將伺服器憑證匯入 Web 瀏覽器)。
- OS 部署憑證。作業系統部署服務使用個別憑證,以確保作業系統安裝程式可以在部署程序期間安全連線到部署服務。如果金鑰已遭破解,您可以重新啟動 Lenovo XClarity Management Hub 以重新產生金鑰。