La funzionalità Autorità di certificazione (CA) esterna è disponibile per grandi aziende e clienti governativi che distribuiscono un Orchestrator in locale e hanno la necessità di utilizzare la propria autorità di certificazione (CA) anziché l'autorità di certificazione di Orchestrator autofirmata predefinita. Questa sezione illustra come abilitare e configurare una CA esterna.

Se è configurata un'autorità di certificazione esterna, anziché ricevere la richiesta di firma del certificato (CSR) ed emettere i certificati del dispositivo, Orchestrator deve passare la richiesta CSR a una CA esterna per il rilascio del certificato. Il certificato del dispositivo verrà restituito a Orchestrator e inviato all'Edge o al Gateway.

Un cliente che utilizza questa funzionalità dovrebbe aver distribuito un'autorità di certificazione commerciale, ad esempio di PrimeKey (EJBCA PKI) oppure, in qualche caso, potrebbe aver implementato la propria CA proprietaria.

A partire dalla versione 5.1.0, un Orchestrator in cui è attivata una CA esterna può essere configurato con due nuove modalità pronte per l'API:

  • Modalità manuale (Manual Mode): fornisce supporto per qualsiasi autorità di certificazione e offre flessibilità e controllo consentendo all'utente di eseguire manualmente ogni passaggio del processo di certificazione.

  • Modalità asincrona (Asynchronous Mode): offre supporto per qualsiasi autorità di certificazione con la possibilità di eseguire lo script dei passaggi manuali e automatizzare le attività ricorrenti.

Queste modalità sono state aggiunte alla Modalità sincrona o automatizzata (Synchronous or Automated Mode), che è stata la prima modalità introdotta nella versione 4.3.0. Con la modalità sincrona, Orchestrator si integra direttamente con un'autorità di certificazione esterna (che, per la versione 4.3.0 e successive, offriva l'infrastruttura PKI EJBCA di PrimeKey come unica autorità di certificazione esterna disponibile) e tramite REST API per la richiesta, il rinnovo e la revoca del certificato.

Abilitare una CA esterna

La funzionalità CA esterna viene abilitata tramite due proprietà di sistema. L'abilitazione di queste proprietà di sistema può essere eseguita solo da un operatore con ruolo di superuser.

Procedura

La prima proprietà di sistema che deve essere abilitata è ca.external.configuration. Questa proprietà viene creata manualmente con un tipo di dati JSON e il JSON viene popolato in modo coerente con l'esempio visualizzato di seguito nella sezione Esempio di configurazione di una CA esterna.

Solo dopo aver creato e abilitato ca.external.configuration, l'operatore deve abilitare la seconda proprietà di sistema, ovvero ca.external.enable.

  1. Nell'interfaccia utente di Orchestrator selezionare Proprietà di sistema (System Properties).
  2. Utilizzando la casella di ricerca nella pagina Proprietà di sistema (System Properties) immettere ca.external.enable come illustrato nelle immagini seguenti.
  3. Una volta individuata la proprietà ca.external.enable, fare clic su tale proprietà o selezionare la casella di controllo e fare clic su Modifica (Edit).
  4. Modificare la proprietà ca.external.enable impostandola su True e selezionare Salva modifiche (Save changes) per completare la modifica, come illustrato nell'immagine seguente.

    La pagina Proprietà di sistema (System Property) mostra la conferma che la proprietà è stata modificata correttamente e che ca.external.enable è True.

Configurare una CA esterna

Dopo aver attivato la proprietà di sistema della CA esterna, l'operatore può ora fare clic su Orchestrator > Autorità di certificazione (Certificate Authorities) per iniziare a configurare un'autorità di certificazione esterna.

La configurazione di una CA esterna può essere eseguita utilizzando una delle tre modalità seguenti:
  1. Automatizzata (sincrona) (Automated (Synchronous)): con la modalità Automatizzata (Automated), è supportata una sola autorità di certificazione esterna, ovvero la PKI EJBCA di PrimeKey.
  2. Manuale (Manual): la modalità manuale fornisce supporto per qualsiasi autorità di certificazione e offre flessibilità e controllo consentendo all'utente di eseguire manualmente ogni passaggio del processo di certificazione.

  3. Asincrona (Asynchronous): la modalità asincrona offre supporto per qualsiasi autorità di certificazione con la possibilità di eseguire lo script dei passaggi manuali e automatizzare le attività ricorrenti.

  1. Nella pagina Orchestrator > Autorità di certificazione (Certificate Authorities) , fare clic su + CA aggiuntiva (+ Additional CA).
  2. Dopo aver fatto clic + CA aggiuntiva (+ Additional CA), l'interfaccia utente passerà a Tipo di CA (CA Type) con un menu a discesa con le opzioni CA intermedia (Intermediate CA) e CA esterna (External CA). Fare clic su CA esterna (External CA).

  3. Una volta fatto clic su CA esterna (External CA), la schermata passa alla schermata Aggiungi CA esterna (Add External CA) in cui un operatore può scegliere tra le tre modalità CA esterne indicate in precedenza: Automatizzata (sincrona) (Automated (Synchronous)), asincrona (Asynchronous) e manuale (Manual).

  4. Dopo aver selezionato una modalità CA, la schermata Aggiungi CA esterna (Add External CA) viene modificata per consentire una configurazione aggiuntiva della CA esterna. Questo è il percorso che l'operatore deve incollare in Certificato root CA (CA Root Certificate).

    Se si seleziona la casella Attiva VCO per il polling di CRL (Activate VCO to poll for CRL), l'operatore sceglie di fare in modo che Orchestrator esegua controlli della revoca del certificato utilizzando l'elenco di revoca dei certificati (CRL). Se questa opzione è selezionata, vengono visualizzati altri due parametri che l'operatore deve configurare:

    1. Intervallo polling CRL in minuti (CRL Poll Interval in Minutes) determina la frequenza in minuti con cui Orchestrator eseguirà il controllo della revoca del certificato rispetto al CRL più recente.
    2. Punto di distribuzione CRL (CRL Distribution Point) è l'URL da cui Orchestrator recupera il CRL più recente.

  5. Una volta compilati tutti i campi obbligatori, l'operatore fa clic su Salva (Save).
  6. Una volta configurata una CA esterna, l'operatore avrà a disposizione le nuove opzioni Importa CRL (Import CRL) e Scarica CRL (Download CRL).

    Utilizzando Importa CRL (Import CRL) mentre è configurato anche Polling del CRL di Orchestrator (Orchestrator CRL Polling), un operatore può eseguire importazioni ed esportazioni batch o singole.

    Il CRL esegue una convalida dopo qualsiasi importazione dei certificati e Orchestrator distribuisce il CRL a ogni Edge e Gateway connessi a Orchestrator.

Nota: È disponibile una terza proprietà di sistema: ca.external.caCertificate. Questa proprietà di sistema verrà visualizzata una volta che la CA esterna sarà stata abilitata e sarà presente la connettività a una CA esterna valida. Questa proprietà richiede un certificato codificato PEM (Privacy Enhanced Mail).
Nota: La richiesta di firma del certificato (CSR) generata dall'Edge o dal gateway ha solo un nome comune (CN). Durante la firma della richiesta CSR, l'autorità di certificazione esterna aggiunge l'oggetto richiesto.

Esempio di configurazione di una CA esterna

Questa sezione offre un esempio di configurazione per il campo ca.external.configuration .

{
"integrationType": "SYNCHRONOUS",
"csrDistinguishedName": {
"CN_PID_SN": "VMWare-SDWAN"
},
"synchronous": {
"synchronousIntegrationType": "EJBCA",
"ejbca": {
"serverCaCertificate": "-----BEGIN CERTIFICATE-----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\n+kEK69DlZRNudn4=\n-----END CERTIFICATE-----",
"apiCertificate": "-----BEGIN CERTIFICATE-----\nMIIEKzCCApOgAwIBAgIUM83EYfZz4vi4ty1EOJr+n6wMksAwDQYJKoZIhvcNAQEL\nBQAwgZIxIzAhBgoJkiaJk/IsZAEBDBNyLTA1OTVhMTNjMTUzZDc2YWU1MRUwEwYD\nVQQDDAxNYW5hZ2VtZW50Q0ExHjAcBgNVBAsMFWFtaS0wMmE0NDc0YzFmNzQ5NDBh\nODE0MDIGA1UECgwraXAtMTAtODEtMTI1LTEzMi51cy13ZXN0LTIuY29tcHV0ZS5p\nbnRlcm5hbDAeFw0yMTAyMDUwMDA1MTRaFw0yNjAyMDUwMDA1MTNaMBUxEzARBgNV\nBAMMClN1cGVyQWRtaW4wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQC/\nrPdG0oY89GGUgHbV9iG3n3Y1mPBmQ+iVBvKYD3YpM7fG+KnVQTdJLrYoH5vP7lVY\nQj9H6pjxq0Bh53Mse2Fl9UE/Gew6IZiRd2OK9yM1xRKH7hjPB3tqFlA98mar+BYA\nGPhapmq+sSFz6TS2ssToUllG8QgJeMxh6+vSP/Ca9O+HiDB7TqECufVv6lrL7sfK\nqfyQ5YzITKm7IGDQfdCiorwndvd1i1NB+vviiYsk1fEW8gvRUu7wMRlzmPwxnUxd\nKmb/b7+O65md7+FlkqU6EzYMQ/224ZJonwJfzmNTO1AGt4aaJDNKn1i5wV22xqqQ\nZvA6nrkBd+06pUwVTen1AgMBAAGjdTBzMAwGA1UdEwEB/wQCMAAwHwYDVR0jBBgw\nFoAUafBBZNWmFvrP7cHjlMLl4f8bjCcwEwYDVR0lBAwwCgYIKwYBBQUHAwIwHQYD\nVR0OBBYEFFj+bk/epA/jPXZywy1D4XV5sWlMMA4GA1UdDwEB/wQEAwIF4DANBgkq\nhkiG9w0BAQsFAAOCAYEARNN08PUMCAWI+wLpu4FRuApRJrWn7U07D2ZDirV5a7pq\nICCbREe34EYmbLyqdUCMHS8xJlPun5ER3E5YFzckC7wJ9y2h8giB7O3cjx/wWkax\nNEkz/Is634XZveIRNf1TmV9/71LnfUBDJjHYFPNzyw6CBtVn/niL1Q9o3SvbbZLQ\nCcdcpFm1rxku0UOuCaQgOSuLn5nqTFCNi4Sx40shg8wDrc1AUuv+yX09dM2G+27h\ndCJrkqHwbtWQMY2sOBdTIq6TMyJyrsvTCTQ67vqRtdJuSqOw/CnPnSo2/lSrkNWC\nIl7mQzq6+2ayQBxsm6xuHXD0INoRB+flq/QhY+CQIaTLYLezVITo0bZhe0TpNqYK\nlINUWjxI8mCBBiXZZ9zxbyOqzZouZcNH12OCEqU8alTfyW0EpGYClemRTgXxboDK\n+uEwKH6sngYMkG0Usni4WIKBvZV2dJa5o8RhuCUFhwBJ2aHuiTq86RLrazJBE3wA\nGvpl0ZmGVYmond3aBOYu\n-----END CERTIFICATE-----",
"apiKey": "-----BEGIN PRIVATE KEY-----\nMIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQC/rPdG0oY89GGU\ngHbV9iG3n3Y1mPBmQ+iVBvKYD3YpM7fG+KnVQTdJLrYoH5vP7lVYQj9H6pjxq0Bh\n53Mse2Fl9UE/Gew6IZiRd2OK9yM1xRKH7hjPB3tqFlA98mar+BYAGPhapmq+sSFz\n6TS2ssToUllG8QgJeMxh6+vSP/Ca9O+HiDB7TqECufVv6lrL7sfKqfyQ5YzITKm7\nIGDQfdCiorwndvd1i1NB+vviiYsk1fEW8gvRUu7wMRlzmPwxnUxdKmb/b7+O65md\n7+FlkqU6EzYMQ/224ZJonwJfzmNTO1AGt4aaJDNKn1i5wV22xqqQZvA6nrkBd+06\npUwVTen1AgMBAAECggEAL5DVVnp0/JhqxMbydptbd613UMqw0bgFdkIgnrKrkIL4\nlsRrpPPHq/4PDzr02C9dd4cNHCQwKzzjv8gHkWDW5U3tEKM2t6BRs7usdLZqwvOy\naxAfkPTa4BNEe3L1nrR0hTatHxXQRJ1BX3nebn5DliGlbRDwfSVAlwZMYcMjStiS\nZNyS71vrxRmYFyUNyjGDCZsBDRdSb41cQJ0GmwMd2B8AE5I0spMZm2Y5FM0ZcddX\nlDcELonz1LCTNZaXyhdDBCQ8ecWrSWJZ8REhTlK/wsTtPbLi1OxIAemcLxzTJQRC\n0tyWzA2zl90hmpJs3of7geGvDCDwRu/MgvuH31MFwQKBgQDxbHm/982/txuB440+\nMm+x/Ma5HzZg0l8sMdH0wQ5qJYd/lrgz2Ik79FqmFPh0l6LcekA0zGri+4PiRVRx\nAlY9pLFdegIY6jJpvJxJH+kQ00xEdeUSZ1O0aAn4dlsHaX3wg+SBJ0NiZxsOeQ9m\nrMDKYT7LE3F5indOimDCug2GoQKBgQDLP5FPvA3uWh5Lff14yhVb0T1oiyeiqe01\nylO7LkCI0s002/M7U0gWXd2XNqAr98KRFtVsbf9gZxsKXTvDI+Vsd11xGGfNZXmM\nwodSK9zIeL4Eve7mRtcB/ZDjtqOn0Um2YeVfXZrEacQoopYo7B4pwjpJmIq/40w3\nOlhXOXEm1QKBgQDPkd9/8LQCwJEy9Q1sS3sDQf0uDyr2xgkz+0W0NQSKuOeuCE0p\nrmQXmzkREHip7fIFtEpd2t+PdoZm1gsK+uJhL6ebYhpJh5p+lL6elIQThkhNmDuy\nvgoW01i3OjN7xPSWBSBC9xoVkeaOZAGc2q0Lk96kRXxL7oQzkAAvjD2y4QKBgHEe\neQaSmIJO/8tuXLNsbYTDqNTVlgKvZoloiT+FV3+PK4y+2dnr2RQxu9GcIns2EsDj\nn3cQpXCHEgKrr0ZFZTwAFy6JscQcNRFFd0Ehjmi44rEK8LqTNLkz4f8KuHz/O3JZ\ne+qe0zN71iPzkXVHLOZ65ivtzVNM8y9NtrsdCj/dAoGBAJNM0+Fbt3i1El+U/jOQ\nKwD8vBVwsJEZ0UspoxETTAnu0sgIUbRECVhn/BQ5ja3HusRaDRsKb7ROLyjnRuC7\nnR/wM//oENnRm50hEi4Ocfp0eAOx7XQOUuE08XhUMyXp00mOCo1NwOFtL0WdG6Bk\nSNV2aPx+2+DGSZEVbuLXviHs\n-----END PRIVATE KEY-----",
"host": "ip-10-81-125-132.us-west-2.compute.internal",
"port": "443",
"distinguishedName": "UID=r-0595a13c153d76ae5,CN=ManagementCA,OU=ami-02a4474c1f74940a8,O=ip-10-81-125-132.us-west-2.compute.internal",
"certificateProfile": "ENDUSER",
"endEntityProfile": "EMPTY"
}
}
}

Monitoraggio di una CA esterna

Il monitoraggio dei certificati viene eseguito nella stessa pagina Orchestrator > Autorità di certificazione (Certificate Authorities).

La pagina Riepilogo certificati (Certificates Summary) fornisce a un operatore lo stato visivo degli indicatori chiave per il ciclo di vita dei certificati. L'operatore inoltre importa i certificati e scaricherebbe le CSR in questa sezione.

Nella sezione Certificati (Certificates), l'operatore può scaricare un elenco completo di tutti i certificati dell'Edge o del Gateway in formato csv.

Un operatore, un partner o un amministratore cliente può anche esaminare il certificato di un Edge specifico passando a Configurazione (Configure) > Edge > Panoramica (Overview).

Limitazioni

  • La CA esterna può essere abilitata solo in un Orchestrator locale gestito da un singolo cliente. Questa funzionalità non è disponibile negli Orchestrator ospitati da VMware.
  • In un Orchestrator che utilizza la versione da 3.4.0 a 5.0.0, questa funzionalità può utilizzare solo la PKI EJBCA di PrimeKey come CA esterna.