Εξωτερική αρχή πιστοποίησης

Η δυνατότητα εξωτερικής αρχής πιστοποίησης (CA) προορίζεται για μεγάλες επιχειρήσεις και κυβερνητικούς πελάτες που αναπτύσσουν ένα Orchestrator εσωτερικής εγκατάστασης και έχουν την απαίτηση να χρησιμοποιούν τη δική τους αρχή πιστοποίησης (CA) και όχι την προεπιλεγμένη αρχή πιστοποίησης αυτόματης υπογραφής του Orchestrator. Αυτή η ενότητα καλύπτει τον τρόπο ενεργοποίησης και διαμόρφωσης μιας εξωτερικής αρχής πιστοποίησης.

Όταν ρυθμίζονται οι παράμετροι της εξωτερικής αρχής πιστοποίησης, αντί να λάβει το Ochestrator αίτημα υπογραφής πιστοποιητικού (CSR) και να εκδώσει το ίδιο τα πιστοποιητικά της συσκευής, το Orchestrator υποχρεούται να μεταβιβάσει τη CSR σε μια εξωτερική αρχή πιστοποίησης για την έκδοση του πιστοποιητικού. Το πιστοποιητικό συσκευής θα επιστραφεί στο Orchestrator και θα σταλεί στο Edge ή στην πύλη.

Ένας πελάτης που χρησιμοποιεί αυτήν τη δυνατότητα αναμένεται να έχει αναπτύξει μια εμπορική αρχή πιστοποίησης, για παράδειγμα από το PrimeKey (EJBCA PKI) ή, σε ορισμένες περιπτώσεις, μπορεί να έχει εφαρμόσει τη δική του ιδιόκτητη αρχή πιστοποίησης.

Για την έκδοση 4.3.0, το Orchestrator στο οποίο είναι ενεργοποιημένη η εξωτερική αρχή πιστοποίησης μπορεί να διαμορφωθεί ώστε να λειτουργεί σε μία μόνο λειτουργία αλληλεπίδρασης: Σύγχρονη. Σε σύγχρονη λειτουργία, το Orchestrator ενσωματώνεται απευθείας σε μια εξωτερική αρχή πιστοποίησης (για την έκδοση 3.4.0, η PrimeKey EJBCA PKI είναι η μόνη διαθέσιμη εξωτερική αρχή πιστοποίησης) και μέσω API REST για αίτημα, ανανέωση και ανάκληση πιστοποιητικού.

Ενεργοποίηση εξωτερικής αρχής πιστοποίησης

Η δυνατότητα εξωτερικής αρχής πιστοποίησης ενεργοποιείται μέσω δύο ιδιοτήτων συστήματος. Η ενεργοποίηση αυτών των ιδιοτήτων συστήματος μπορεί να γίνει μόνο από χειριστή με ρόλο υπερχρήστη.

Διαδικασία

Η πρώτη ιδιότητα συστήματος που πρέπει να ενεργοποιηθεί είναι η ιδιότητα ca.external.configuration. Αυτή η ιδιότητα δημιουργείται με μη αυτόματο τρόπο με έναν τύπο δεδομένων JSON και το JSON συμπληρώνεται σύμφωνα με το παράδειγμα που φαίνεται παρακάτω στην ενότητα «Δείγμα διαμόρφωσης εξωτερικής αρχής πιστοποίησης».

Μόνο αφού δημιουργηθεί και ενεργοποιηθεί η ιδιότητα ca.external.configuration, θα πρέπει ο χειριστής να ενεργοποιήσει τη δεύτερη ιδιότητα συστήματος: ca.external.enable.

Στο περιβάλλον εργασίας χρήστη του Orchestrator επιλέξτε «Ιδιότητες συστήματος» (System Properties)
Χρησιμοποιώντας το πλαίσιο αναζήτησης στη σελίδα «Ιδιότητες συστήματος» (System Properties), πληκτρολογήστε ca.external.enable όπως φαίνεται στην παρακάτω εικόνα.
Μόλις εντοπιστεί η ιδιότητα ca.external.enable, επιλέξτε την, για να την επεξεργαστείτε.
Αλλάξτε την ιδιότητα ca.external.enable σε «Αληθές» (True) και επιλέξτε το κουμπί «Ενημέρωση» (Update), για να ολοκληρώσετε την αλλαγή, όπως φαίνεται στην παρακάτω εικόνα.

Σε αυτό το σημείο, το Orchestrator θα επικοινωνήσει με την εξωτερική αρχή πιστοποίησης για να λάβει το εξωτερικό πιστοποιητικό ρίζας αρχής πιστοποίησης.
Μπορείτε να επιβεβαιώσετε ότι η εξωτερική αρχή πιστοποίησης είναι ενεργοποιημένη στη σελίδα «Σύνοψη CA» (CA Summary) του Orchestrator, όπου είναι επιλεγμένο το πλαίσιο «Ενεργοποιημένο» (Enabled).
Για να ελέγξετε αν υπάρχει σύνδεση με την εξωτερική αρχή πιστοποίησης, επιλέξτε το κουμπί «Δοκιμή» (Test).

Διαμόρφωση εξωτερικής αρχής πιστοποίησης

Για την έκδοση 4.3.0, η διαμόρφωση εξωτερικής αρχής πιστοποίησης είναι περιορισμένη για αυτήν τη δυνατότητα, επειδή είναι διαθέσιμη μόνο μία λειτουργία: η Σύγχρονη. Και με τη σύγχρονη λειτουργία, υποστηρίζεται μόνο μία εξωτερική αρχή πιστοποίησης: η PrimeKey EJBCA PKI. Στις επερχόμενες εκδόσεις, όταν θα υποστηρίζονται πρόσθετες λειτουργίες όπως η «Ασύγχρονη» (Asynchronous) και η «Μη αυτόματη» (Manual) και θα υποστηρίζονται πρόσθετες εξωτερικές αρχές πιστοποίησης, η σελίδα «Σύνοψη CA» (CA Summary) του Orchestrator θα προσθέσει διασυνδέσεις διαμόρφωσης για να αντικατοπτρίζεται η δυνατότητα επιλογής από αυτές τις πρόσθετες λειτουργίες και εξωτερικές αρχές πιστοποίησης.

Όπως σημειώνεται στην ενότητα «Ενεργοποίηση εξωτερικής αρχής πιστοποίησης», πρώτα ο χειριστής θα ενεργοποιήσει την ιδιότητα συστήματος ca.external.configuration, η οποία δημιουργείται με μη αυτόματο τρόπο με τύπο δεδομένων JSON και το JSON συμπληρώνεται σύμφωνα με το παράδειγμα που φαίνεται παρακάτω στην ενότητα «Δείγμα διαμόρφωσης εξωτερικής αρχής πιστοποίησης».

Υπάρχει μια τρίτη ιδιότητα συστήματος: ca.external.caCertificate. Αυτή η ιδιότητα συστήματος θα εμφανιστεί μόλις ενεργοποιηθεί η εξωτερική αρχή πιστοποίησης και υπάρξει σύνδεση με μια έγκυρη εξωτερική αρχή πιστοποίησης. Αυτή η ιδιότητα απαιτεί ένα κωδικοποιημένο πιστοποιητικό PEM (βελτιωμένη αλληλογραφία για προστασία προσωπικών δεδομένων).

Υπάρχει ένα κουμπί «Δοκιμή» (Test) στην ενότητα «Εξωτερική αρχή πιστοποίησης» (External Certificate Authority) της Σύνοψης CA (CA Summary) στο Orchestrator. Κάνοντας κλικ σε αυτό το κουμπί δοκιμής, ο χειριστής μπορεί να επιβεβαιώσει ότι η εξωτερική αρχή πιστοποίησης EJBCA PKI είναι συγχρονισμένη με το Orchestrator και παράγει έγκυρα πιστοποιητικά.

Δείγμα διαμόρφωσης εξωτερικής αρχής πιστοποίησης

Αυτή η ενότητα παρέχει ένα παράδειγμα διαμόρφωσης για το πεδίο ca.external.configuration.

{
"integrationType": "SYNCHRONOUS",
"csrDistinguishedName": {
"CN_PID_SN": "VMWare-SDWAN"
},
"synchronous": {
"synchronousIntegrationType": "EJBCA",
"ejbca": {
"serverCaCertificate": "-----BEGIN CERTIFICATE-----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\n+kEK69DlZRNudn4=\n-----END CERTIFICATE-----",
"apiCertificate": "-----BEGIN CERTIFICATE-----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\nGvpl0ZmGVYmond3aBOYu\n-----END CERTIFICATE-----",
"apiKey": "-----BEGIN PRIVATE KEY-----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\nSNV2aPx+2+DGSZEVbuLXviHs\n-----END PRIVATE KEY-----",
"host": "ip-10-81-125-132.us-west-2.compute.internal",
"port": "443",
"distinguishedName": "UID=r-0595a13c153d76ae5,CN=ManagementCA,OU=ami-02a4474c1f74940a8,O=ip-10-81-125-132.us-west-2.compute.internal",
"certificateProfile": "ENDUSER",
"endEntityProfile": "EMPTY"
}
}
}

Παρακολούθηση εξωτερικής αρχής πιστοποίησης

Η παρακολούθηση πιστοποιητικών παραμένει αμετάβλητη στην έκδοση 4.3.0 και νεότερες εκδόσεις.

Ο χειριστής εξακολουθεί να συμβουλεύεται τη σελίδα «Σύνοψη CA» (CA Summary) για μια λίστα όλων των πιστοποιητικών Edge και πύλης.

Ένας χειριστής, συνεργάτης ή διαχειριστής πελατών μπορεί επίσης να εξετάσει ένα συγκεκριμένο πιστοποιητικό Edge μεταβαίνοντας στις επιλογές Διαμόρφωση > Edge > Επισκόπηση (Configure > Edge > Overview).

Περιορισμοί

Η εξωτερική αρχή πιστοποίησης μπορεί να ενεργοποιηθεί μόνο σε ένα Orchestrator εσωτερικής εγκατάστασης το οποίο διαχειρίζεται ο πελάτης. Αυτή η δυνατότητα δεν είναι διαθέσιμη σε Orchestrator που φιλοξενούνται από τη VMware.
Για την έκδοση 4.3.0, αυτή η δυνατότητα υποστηρίζει μόνο τη Σύγχρονη (Synchronous) λειτουργία.
Για την έκδοση 4.3.0, αυτή η δυνατότητα μπορεί να χρησιμοποιήσει μόνο την PrimeKey EJBCA PKI ως εξωτερική αρχή πιστοποίησης.
Σε μελλοντικές εκδόσεις, θα προστεθεί υποστήριξη για πρόσθετες λειτουργίες (Ασύγχρονη και Μη αυτόματη) (Asynchronous και Manual) και πρόσθετες εξωτερικές αρχές πιστοποίησης.