為適用於邊緣用戶端裝置的 管理中樞 安裝受信任的外部簽署伺服器憑證
您可以選擇使用私密或商業憑證管理中心 (CA) 簽署的受信任伺服器憑證。若要使用外部簽署的伺服器憑證,請產生憑證簽章要求 (CSR),然後匯入產生的伺服器憑證,以取代現有伺服器憑證。
開始之前
小心
- 如果您使用新的主要 CA 安裝外部簽署的 Lenovo XClarity Management Hub 伺服器憑證,管理中樞 會失去與受管理裝置的連線,您必須重新管理裝置。如果您在不變更主要 CA 的情況下安裝外部簽署的 Lenovo XClarity Management Hub 伺服器憑證(例如,當憑證過期時),便不需要重新管理裝置。
- 如果在產生 CSR 之後、匯入已簽署伺服器憑證之前新增了裝置,則必須重新啟動這些裝置才能接收新的伺服器憑證。
關於此作業
最佳做法是始終使用 v3 已簽署憑證。
外部簽署的伺服器憑證必須從最近使用產生 CSR 檔案按鈕建立的憑證簽章要求來建立。
外部簽署的伺服器憑證內容必須是包含整個 CA 簽署鏈結的憑證組合,包括 CA 的主要憑證、中繼憑證和伺服器憑證。
如果授信的第三方未簽署新的伺服器憑證,則下次連線至 Lenovo XClarity Management Hub 時,Web 瀏覽器會顯示安全性訊息和對話框,提示您在瀏覽器中接受新憑證。要避免安全性訊息,可以將伺服器憑證匯入 Web 瀏覽器的受信任憑證清單(請參閱將伺服器憑證匯入 Web 瀏覽器)。
管理中樞 會開始使用新的伺服器憑證而不終止目前的階段作業。使用新的憑證建立新階段作業。若要使用使用中的新憑證,請重新啟動您的 Web 瀏覽器。
重要
伺服器憑證經過修改後,所有已建立的使用者階段作業都必須接受新的憑證,方法是按一下 Ctrl+F5 來重新整理 Web 瀏覽器,然後重新建立它們與 管理中樞 的連線。
程序
若要產生並安裝外部簽署的伺服器憑證,請完成下列步驟。
- 建立憑證簽章要求並將檔案儲存至您的本端系統。
- 在 管理中樞 功能表列上,按一下安全性 (
) > 伺服器憑證,以顯示產生憑證簽章要求卡片。
- 在產生憑證簽章要求 (CSR) 卡片上,填入要求的各個欄位。
- 與憑證組織相關聯的雙字母 ISO 3166 國家或地區碼(例如,US 表示美國)。
- 與憑證相關聯的州/省(縣/市)完整名稱(例如 California 或 New Brunswick)。
- 與憑證相關聯的鄉鎮/市區完整名稱(例如 San Jose)。此值的長度不能超過 50 個字元。
- 擁有憑證的組織(公司)。通常是公司的法定公司名稱。它應包含所有字尾,例如 Ltd.、Inc. 或 Corp(例如 ACME International Ltd.)。此值的長度不能超過 60 個字元。
- (選用)擁有憑證的組織單位(例如 ABC Division)。此值的長度不能超過 60 個字元。
- 憑證擁有者的一般名稱。這必須是使用憑證的伺服器的主機名稱。此值的長度不能超過 63 個字元。註目前,此屬性對憑證沒有影響。
- (選用)產生 CSR 時,自訂、刪除並新增至 X.509「subjectAltName」延伸的主體替代名稱。只有在您產生 CSR 後,才會驗證指定的主體替代名稱(根據指定的類型)並將其新增至 CSR。
依預設,管理中樞 會根據 管理中樞 客體作業系統的網路介面探索找到的 IP 位址和主機名稱,自動定義 CSR 的主體替代名稱。
小心主體替代名稱必須包含管理中樞的完整網域名稱 (FQDN) 或 IP 位址,而且主體名稱必須設定為管理中樞的 FQDN。為確保產生的憑證完整,在開始 CSR 程序之前,請驗證這些必要欄位是否存在且正確。缺少憑證資料可能會導致在嘗試將管理中樞連接到Lenovo XClarity Orchestrator 時,連線不受信任。 您必須指定對所選類型有效的名稱。- DNS(使用 FQDN,例如 hostname.labs.company.com)
- IP 位址(例如,192.0.2.0)
- 電子郵件(例如,example@company.com)
- 在 管理中樞 功能表列上,按一下安全性 (
提供意見回饋