為適用於邊緣用戶端裝置的 XClarity Management Hub 安裝受信任的外部簽署伺服器憑證
您可以選擇使用私密或商業憑證管理中心 (CA) 簽署的受信任伺服器憑證。若要使用外部簽署的伺服器憑證,請產生憑證簽章要求 (CSR),然後匯入產生的伺服器憑證,以取代現有伺服器憑證。
開始之前
小心
- 如果您使用新的主要 CA 安裝外部簽署的 Lenovo XClarity Management Hub 伺服器憑證,XClarity Management Hub 會失去與受管理裝置的連線,您必須重新管理裝置。如果您在不變更主要 CA 的情況下安裝外部簽署的 Lenovo XClarity Management Hub 伺服器憑證(例如,當憑證過期時),便不需要重新管理裝置。
- 如果在產生 CSR 之後、匯入已簽署伺服器憑證之前新增了裝置,則必須重新啟動這些裝置才能接收新的伺服器憑證。
關於此作業
最佳做法是始終使用 v3 已簽署憑證。
外部簽署的伺服器憑證必須從最近使用產生 CSR 檔案按鈕建立的憑證簽章要求來建立。
外部簽署的伺服器憑證內容必須是包含整個 CA 簽署鏈結的憑證組合,包括 CA 的主要憑證、中繼憑證和伺服器憑證。
如果授信的第三方未簽署新的伺服器憑證,則下次連線至 Lenovo XClarity Management Hub 時,Web 瀏覽器會顯示安全性訊息和對話框,提示您在瀏覽器中接受新憑證。要避免安全性訊息,可以將伺服器憑證匯入 Web 瀏覽器的受信任憑證清單(請參閱為適用於邊緣用戶端裝置的 Lenovo XClarity Management Hub 將伺服器憑證匯入 Web 瀏覽器)。
XClarity Management Hub 會開始使用新的伺服器憑證而不終止目前的階段作業。使用新的憑證建立新階段作業。若要使用使用中的新憑證,請重新啟動您的 Web 瀏覽器。
重要
伺服器憑證經過修改後,所有已建立的使用者階段作業都必須接受新的憑證,方法是按一下 Ctrl+F5 來重新整理 Web 瀏覽器,然後重新建立它們與 XClarity Management Hub 的連線。
程序
若要產生並安裝外部簽署的伺服器憑證,請完成下列步驟。
- 建立憑證簽章要求並將檔案儲存至您的本端系統。
- 在 XClarity Management Hub 功能表列上,按一下安全性 (
) > 伺服器憑證,以顯示產生憑證簽章要求卡片。
- 在產生憑證簽章要求 (CSR) 卡片上,填入要求的各個欄位。
- 與憑證組織相關聯的雙字母 ISO 3166 國家或地區碼(例如,US 表示美國)。
- 與憑證相關聯的州/省(縣/市)完整名稱(例如 California 或 New Brunswick)。
- 與憑證相關聯的鄉鎮/市區完整名稱(例如 San Jose)。此值的長度不能超過 50 個字元。
- 擁有憑證的組織(公司)。通常是公司的法定公司名稱。它應包含所有字尾,例如 Ltd.、Inc. 或 Corp(例如 ACME International Ltd.)。此值的長度不能超過 60 個字元。
- (選用)擁有憑證的組織單位(例如 ABC Division)。此值的長度不能超過 60 個字元。
- 憑證擁有者的一般名稱。這必須是使用憑證的伺服器的主機名稱。此值的長度不能超過 63 個字元。註目前,此屬性對憑證沒有影響。
- (選用)產生 CSR 時,自訂、刪除並新增至 X.509「subjectAltName」延伸的主體替代名稱。只有在您產生 CSR 後,才會驗證指定的主體替代名稱(根據指定的類型)並將其新增至 CSR。
依預設,XClarity Management Hub 會根據 XClarity Management Hub 客體作業系統的網路介面探索找到的 IP 位址和主機名稱,自動定義 CSR 的主體替代名稱。
小心主體替代名稱必須包含管理中樞的完整網域名稱 (FQDN) 或 IP 位址,而且主體名稱必須設定為管理中樞的 FQDN。為確保產生的憑證完整,在開始 CSR 程序之前,請驗證這些必要欄位是否存在且正確。缺少憑證資料可能會導致在嘗試將管理中樞連接到Lenovo XClarity Orchestrator 時,連線不受信任。 您必須指定對所選類型有效的名稱。- DNS(使用 FQDN,例如 hostname.labs.company.com)
- IP 位址(例如,192.0.2.0)
- 電子郵件(例如,example@company.com)
- 在 XClarity Management Hub 功能表列上,按一下安全性 (
提供意見回饋