Обработка сертификатов SSL
В данном разделе содержится информация об администрировании сертификатов, которые могут использоваться с протоколом безопасности SSL.
SSL можно использовать с самозаверяющим сертификатом или сертификатом, заверенным сторонним центром сертификации. Использование самозаверяющего сертификата — простейший способ использования SSL, однако при этом возникает небольшой риск безопасности. Этот риск возникает из-за того, что клиент SSL никак не может подтвердить идентичность сервера SSL при первом подключении, которое пытаются установить клиент и сервер. Например, сторонняя сущность может выдать себя за веб-сервер XClarity Controller и перехватить данные, передаваемые между фактическим веб-сервером XClarity Controller и веб-браузером пользователя. Если в период, когда установлено первоначальное соединение между браузером и XClarity Controller, самозаверяющий сертификат импортируется в хранилище сертификатов браузера, весь дальнейший обмен данными для такого браузера будет безопасным (при условии, что безопасность первоначального соединения не была нарушена в результате атаки).
Чтобы обеспечить более высокий уровень безопасности, можно использовать сертификат, заверенный центром сертификации (ЦС). Чтобы получить подписанный сертификат, необходимо выбрать команду Создать запрос подписи сертификата (CSR). Выберите Загрузить запрос подписи сертификата (CSR) и отправьте запрос подписи сертификата (CSR) в ЦС, чтобы получить подписанный сертификат. Получив подписанный сертификат, щелкните Импортировать подписанный сертификат, чтобы импортировать его в XClarity Controller.
Функция ЦС заключатся в подтверждении идентичности XClarity Controller. Сертификат содержит цифровые подписи для ЦС и XClarity Controller. Если хорошо известный ЦС издает сертификат или сертификат ЦС был уже импортирован в веб-браузер, веб-браузер может подтвердить сертификат и положительно идентифицировать веб-сервер XClarity Controller.
XClarity Controller требует сертификат для использования с сервером HTTPS, интерфейсом CIM через HTTPS и защищенным клиентом LDAP. Кроме того, защищенный клиент LDAP также требует импорта одного или более доверенных сертификатов. Доверенный сертификат используется защищенным клиентом LDAP для положительной идентификации сервера LDAP. Доверенный сертификат — это сертификат центра сертификации, подписавшего сертификат сервера LDAP. Если на сервере LDAP используются самозаверяющие сертификаты, доверенным сертификатом может быть сам сертификат сервера LDAP. Если в конфигурации используется несколько серверов LDAP, необходимо импортировать дополнительные доверенные сертификаты.