跳到主要内容

SSL 证书处理

本主题介绍对配合 SSL 安全协议使用的证书进行管理的信息。

WEB、Redfish 和 LDAP 客户端使用相同的证书配置。每当您希望更改 SSL 证书配置时,都必须重新建立 SSL 连接。SSL 可以与自签名证书一起使用,也可以与第三方证书颁发机构签名的证书一起使用。使用自签名证书是使用 SSL 最直接的方法,但存在一些安全风险。之所以会造成这种风险,是因为 SSL 客户端无法在客户端与服务器首次尝试连接时验证 SSL 服务器的身份。恶意第三方可能会冒充服务器并拦截 XClarity Controller 与浏览器之间传输的数据。如果在浏览器与 XClarity Controller 首次建立连接时,将自签名证书导入到浏览器的证书库中,那么针对该浏览器的所有后续通信都将是安全的(假设首次连接未受到攻击)。使用“SSL 证书管理”页面生成密钥对和自签名证书后,即可启用 SSL。

为了获得更高的安全性,请使用由证书颁发机构(CA)签名的证书。要获取签名证书,请执行以下操作:
  • SSL 证书管理下的生成图标中选择生成 CSR(证书签名请求)
  • 填写必填字段,然后选择生成
  • 生成自签名证书后,它将显示在 SSL 证书管理中。
  • 下载图标中选择下载证书签名请求(CSR),以下载签名证书。
  • 下载签名证书后,选择 CA 证书管理下的导入签名证书图标,将证书导入到 XClarity Controller 中。

CA 的功能是验证 XClarity Controller 的身份。证书包含 CA 和 BMC 的数字签名。如果某知名 CA 发放了证书,或者 CA 的证书已导入到 Web 浏览器中,那么浏览器将能够验证该证书,并明确地识别 BMC Web 服务器。

请注意,SSL 会将证书中的 XClarity Controller 主机名(或公用名)与 Web 浏览器中显示的主机名进行比较。