安裝受信任的外部簽署 XClarity Management Hub 2.0伺服器憑證
您可以選擇使用私密或商業憑證管理中心 (CA) 簽署的受信任伺服器憑證。若要使用外部簽署的伺服器憑證,請產生憑證簽章要求 (CSR),然後匯入產生的伺服器憑證,以取代現有伺服器憑證。
REVIEWED BY Corneliu P, Stefan J: 4–Dec-2023
考量
如果您使用新的主要 CA 安裝外部簽署的伺服器憑證,管理中樞會失去與受管理裝置的連線,您必須重新管理裝置。如果您在不變更主要 CA 的情況下安裝外部簽署的伺服器憑證(例如,當憑證過期時),便不需要重新管理裝置。
如果在產生 CSR 之後、匯入已簽署伺服器憑證之前新增了裝置,則必須重新啟動這些裝置才能接收新的伺服器憑證。
最佳做法是始終使用 v3 已簽署憑證。
外部簽署的伺服器憑證必須根據最近為管理中樞產生的憑證簽章要求來建立。
外部簽署的伺服器憑證內容必須是包含整個 CA 簽署鏈結的憑證組合,包括 CA 的主要憑證、中繼憑證和伺服器憑證。
如果授信的第三方未簽署新的伺服器憑證,則下次連線至 XClarity Management Hub 2.0 時,Web 瀏覽器會顯示安全性訊息和對話框,提示您在瀏覽器中接受新憑證。要避免安全性訊息,可以將伺服器憑證匯入 Web 瀏覽器的受信任憑證清單(請參閱將 XClarity Management Hub 2.0伺服器憑證匯入 Web 瀏覽器中)。
Web 瀏覽器會自動重新整理以接受新憑證。
安裝受信任的外部簽署伺服器憑證
若要產生並安裝外部簽署的伺服器憑證,請完成下列步驟。
建立憑證簽章要求並將檔案儲存至您的本端系統。
在安全性檢視的內容功能表中,按一下憑證。
在產生憑證簽章要求 (CSR) 面板中,在每個欄位中提供值,然後按一下產生 CSR 檔案。
組織通常是擁有憑證的公司的合法註冊名稱。包含字尾,例如 Ltd.、Inc. 或 Corp(例如 ACME International Ltd.)。
組織單位是公司中擁有憑證的部門(例如,ABC 部門)。
一般名稱通常是使用該憑證之伺服器的完整網域名稱 (FQDN) 或 IP 位址(例如,www.domainname.com 或 192.0.2.0)。此值的長度不能超過 63 個字元。
您可以在產生的 CSR 中的 X.509「subjectAltName」延伸中自訂主體替代名稱。如果您在 CSR 中提供一個或多個主體替代名稱,則只有您提供的主體替代名稱才會儲存在 CSR 中。您可以為以下類型提供主體替代名稱。確保指定的名稱對所選類型是有效的。只有在您產生 CSR 後,才會驗證指定的主體替代名稱(根據指定的類型)並將其新增至 CSR。
- DNS(使用主機名稱或 FQDN,例如 hostname.labs.company.com)
- IP 位址(例如,192.0.2.0)
- 電子郵件(例如,example@company.com)
如果未提供主體替代名稱,則使用管理中樞中的預設名稱和類型。IP 位址。目前的管理中樞 IP 位址
DNS 名稱。管理中樞主機名稱
DNS 名稱。如果提供了網域名稱,便是管理中樞 FQDN。否則,這便是空白。
小心主體替代名稱必須包含管理中樞的主機名稱或完整網域名稱 (FQDN) 和 IP 位址,而且主體名稱必須設定為管理中樞的主機名稱或 FQDN。為確保產生的憑證完整,在開始 CSR 程序之前,請驗證這些必要欄位是否存在且正確。缺少憑證資料可能會導致在嘗試將管理中樞連接到Lenovo XClarity Orchestrator 時,連線不受信任。
重要繼續之前,請驗證新產生的憑證是否在主體替代名稱中包含 FQDN 和 IP 位址。
確保新產生的憑證配置為同時用作伺服器憑證和用戶端憑證。
將 CSR 提供給授信憑證管理中心 (CA)。CA 簽署 CSR,然後傳回伺服器憑證。
小心CSR 中儲存的所有主體替代名稱都必須用於簽署 CSR 並產生 Web 憑證。將外部簽署的伺服器憑證和 CA 憑證匯入 XClarity Management Hub 2.0,以取代目前的伺服器憑證。
在憑證簽章要求 (CSR) 面板中,按一下匯入憑證以顯示匯入憑證對話框。
插入 PEM 格式的外部簽署伺服器憑證。您必須提供完整的憑證鏈,以伺服器憑證為首,以主要 CA 憑證為尾。
按一下匯入將伺服器憑證儲存在管理中樞信任儲存庫。
小心管理中樞上 CSR 中儲存的主體替代名稱必須與匯入的伺服器憑證中儲存的主體替代名稱完全相符。如果不相符(例如,如果 CSR/簽署的憑證中的 IP 位址與管理中樞中的 IP 位址不同),則匯入和安裝伺服器憑證的操作會成功,但可能會導致連線不受信任(例如無法存取使用者介面)。