跳到主要内容

使用安全证书

Lenovo 超融合管理平台使用SSL证书在超融合管理平台与资源管理器(如 Lenovo XClarity Administrator)之间建立安全可信的通信以及用户与超融合管理平台的通信。默认情况下,超融合管理平台和资源管理器使用超融合管理平台生成的自签名证书。

关于本任务

在每个超融合管理平台实例中唯一生成的默认服务器证书为多种环境提供充分的安全性。可让超融合管理平台为您管理证书,也可更主动地定制或替换服务器证书。超融合管理平台可根据所处环境定制证书。例如,可决定:

  • 生成新的服务器密钥和证书,其中使用组织特有的值。

  • 生成一个证书签名请求(CSR),可将它发送到所选的证书颁发机构以创建随后可导入到超融合管理平台信任存储区的签名证书。

  • 将证书保存到本地系统,以使您可将该证书导入到Web浏览器的可信证书列表中。

超融合管理平台有多个接受传入传输层安全性(TLS)连接的服务。客户端(如资源管理器或Web浏览器)连接到其中一个服务时,超融合管理平台将提供其服务器证书来自我认证到客户端。客户端应保留一个其信任的证书的列表。如果超融合管理平台的服务器证书未包含在客户端列表中,客户端将断开超融合管理平台的连接以避免与不可信来源进行任何安全敏感信息的交换。

在与资源管理器和外部服务通信时,超融合管理平台充当客户端。超融合管理平台连接到资源管理器或外部服务时,该资源管理器或外部服务将提供其服务器证书以自我认证到超融合管理平台。超融合管理平台应保留一个其信任的证书的列表。如果资源管理器或外部服务提供的可信证书未包含在该列表中,超融合管理平台将断开该资源管理器或外部服务的连接以避免与不可信来源进行任何安全敏感信息的交换。

超融合管理平台使用以下证书。

  • 服务器证书。在初始设置期间,会生成服务器密钥和自签名证书。此证书用作默认的超融合管理平台服务器证书。每次超融合管理平台检测到网络地址(IP或DNS 地址)变化时将自动重新生成该证书,以确保该证书包含服务器的正确地址。此外也可按需定制和生成该证书(请参阅重新生成内部签署的超融合管理平台服务器证书)。

    可选择生成证书签名请求(CSR)以供外部证书颁发机构(例如贵组织的证书颁发机构或第三方证书颁发机构)签署。签署CSR之后,可导入完整证书链并用其替代内部签署默认服务器证书(请参阅安装外部签署的超融合管理平台服务器证书)。

    如果没有安装外部签署的服务器证书,建议在Web浏览器中导入服务器证书作为可信根证书以避免浏览器中出现证书错误消息(请参阅将服务器证书导入到 Web 浏览器中

  • 可信证书。此信任存储区可管理在超融合管理平台用作客户端时用于与本地资源建立安全连接的证书。本地资源的示例包括受管资源管理器、转发事件时的本地软件等。

  • 外部服务证书。此信任存储区可管理在超融合管理平台用作客户端时用于与外部服务建立安全连接的证书。外部服务的示例包括用于检索保修信息或创建服务凭单的 Lenovo 在线支持服务、可将事件转发到的外部软件(例如 Splunk)。此信任存储区包含由广受信任且世界知名的证书颁发机构提供商(例如Digicert和Globalsign)的根证书颁发机构颁发的预配置可信证书。

当配置超融合管理平台来使用需要连接到其他外部服务的功能时,请参阅相应文档以确定是否需要手动将证书添加到此信任存储区。

请注意,除非同时将此信任存储区中的证书添加到主要“可信证书”信任存储区,否则这些证书在与其他服务(例如LDAP)建立连接时不会受信任。从此信任存储区删除证书会导致这些服务无法成功运行。

为外部服务添加可信证书 这些证书用于与外部服务建立信任关系。例如,在从 Lenovo 检索保修信息、创建凭单、将事件转发到外部应用程序(如Splunk)及使用外部LDAP服务器时,将使用此信任存储区中的证书。

为内部服务添加可信证书 当超融合管理平台充当本地资源(如资源管理器、本地软件的转发事件及嵌入式 LDAP 服务器)的客户端时,这些证书用于与这些资源建立信任关系。此外,此信任存储区中存在内部 CA 证书以及定制的外部签署服务器证书(如果已安装)的 CA 证书以支持超融合管理平台内部通信。

安装外部签署的超融合管理平台服务器证书 可决定使用由私人或商业证书颁发机构(CA)签名的服务器证书。要使用外部签署的服务器证书,请生成证书签名请求(CSR),然后导入所得的服务器证书以替换现有服务器证书。

重新生成内部签署的超融合管理平台服务器证书 如果超融合管理平台当前使用定制的外部签署的服务器证书,则可生成新的服务器证书来替换当前内部签署的 Lenovo 超融合管理平台服务器证书以恢复超融合管理平台生成的证书。超融合管理平台 使用内部签署的新服务器证书来访问HTTPS。

将服务器证书导入到Web浏览器中 可将当前服务器证书的PEM格式副本保存到本地系统。随后可将证书导入Web浏览器的可信证书列表或其他应用程序(例如 Lenovo XClarity Mobile 或 Lenovo XClarity Integrator)中,以避免在访问超融合管理平台时Web浏览器显示安全警告消息。