跳至主要内容

管理 XClarity Management Hub 2.0安全憑證

Lenovo XClarity Management Hub 2.0 使用 SSL 憑證建立管理中樞及其受管理裝置之間安全且受信任的通訊,以及使用者與管理中樞的通訊或與不同服務的通訊。依預設,XClarity Management Hub 2.0XClarity Orchestrator 入口網站使用內部憑證管理中心自行簽署並發出的 XClarity Orchestrator 產生的憑證。

REVIEWED BY Corneliu P, Stefan J: 4–Dec-2023

小心
管理安全憑證需要對 SSL 標準和 SSL 憑證有基本的瞭解,包括其定義及如何管理。如需公開金鑰憑證的一般資訊,請參閱 Wikipedia 中的 X.509 網頁網際網路 X.509 公開金鑰基礎架構憑證 和憑證撤銷清單 (CRL) 設定檔 (RFC5280) 網頁

在每個 XClarity Management Hub 2.0 實例唯一產生的預設伺服器憑證可為許多環境提供足夠的安全。您可以選擇讓 XClarity Management Hub 2.0 為您管理憑證,或者您可以更主動地自訂和取代伺服器憑證。XClarity Management Hub 2.0 會針對您的環境提供自訂憑證的選項。例如,您可以選擇:

  • 透過重新產生內部憑證管理中心和/或使用組織特有值的最終伺服器憑證來產生一對新金鑰。

  • 產生憑證簽章要求 (CSR),然後將之傳送至您選擇的憑證管理中心以簽署自訂憑證,再將該自訂憑證上傳至管理中樞以用來做為其所有裝載服務的最終伺服器憑證。

  • 將伺服器憑證下載至本端系統,讓您可以將該憑證匯入 Web 瀏覽器的受信任憑證清單。

XClarity Management Hub 2.0 提供多個接受傳入 SSL/TLS 連線的服務。當用戶端(例如 Web 瀏覽器)與其中一個服務連線時,管理中樞會提供它的伺服器憑證,以供嘗試連線的用戶端識別。用戶端應該自行維護信任的憑證清單。如果管理中樞的伺服器憑證不在用戶端的清單中,則用戶端應中斷來自管理中樞的連線,以避免與不受信任的來源交換任何安全性敏感資訊。

在與受管理的裝置和外部服務通訊時,XClarity Management Hub 2.0 會充當用戶端。發生這種情況時,受管理裝置或外部服務會提供其伺服器憑證以供管理中樞進行驗證。管理中樞會維護一份其信任的憑證清單。如果受管理裝置或外部服務提供的受信任憑證不在清單內,管理中樞應中斷來自受管理裝置或外部服務的連線,以避免與不受信任的來源交換任何安全性敏感資訊。

伺服器憑證

在初始開機期間會產生唯一金鑰和自簽憑證。這些會用來做為預設的主要憑證管理中心,可在 XClarity Management Hub 2.0 安全設定中的「憑證管理中心」頁面中管理。不需要重新產生此主要憑證,除非金鑰遭到破解,或是您的組織規定必須定期更換所有憑證(請參閱重新產生自簽 XClarity Management Hub 2.0伺服器憑證)。

同樣,在初始設定期間會產生個別金鑰並建立由內部憑證管理中心簽署的伺服器憑證。將這個憑證當做預設的管理中樞伺服器憑證。每次 XClarity Management Hub 2.0 偵測到其 IP 位址、主機名稱或網域名稱已變更時,會自動重新產生憑證,以確保憑證包含了伺服器的正確位址。可以根據需要自訂和產生憑證(請參閱重新產生自簽 XClarity Management Hub 2.0伺服器憑證)。

您可以選擇使用外部簽署伺服器憑證而不是預設的自簽伺服器憑證;若要這麼做,您需要重新產生憑證簽章要求 (CSR),使用私人或商業主要憑證管理中心簽署 CSR,然後將完整的憑證鏈匯入管理中樞(請參閱安裝受信任的外部簽署 XClarity Management Hub 2.0伺服器憑證)。

如果您選擇使用預設的自簽伺服器憑證,建議您在 Web 瀏覽器中匯入伺服器憑證做為受信任主要管理中心,以避免瀏覽器中的憑證錯誤訊息(請參閱將 XClarity Management Hub 2.0伺服器憑證匯入 Web 瀏覽器中)。