关于证书验证
HPE OneView 为装置和外部服务器或设备之间的所有传输层安全 (TLS) 通信执行证书验证。这些检查确保远程端点的保密性、完整性和身份验证。
在生产环境中,Hewlett Packard Enterprise 强烈建议启用证书验证。在不将重点放在安全问题的环境(如测试环境)中,可以选择禁用证书验证。
如果禁用证书验证,则以不安全的方式传输任何敏感数据(如凭据)。请确保仅使用本地用户帐户,而不使用基于企业目录的帐户,以避免在禁用了证书验证时通过网络传输企业登录凭据。
从早期发行版升级时,当前监视或管理的设备正在使用的证书将导入到 HPE OneView 信任存储并生成问题警报,例如,证书已过期。这些自动添加的证书是设备的自签名证书或证书颁发机构 (CA) 签名的证书的叶证书。通过使用 CA 签名的证书,您可以简化设备信任过程。
默认情况下,将启用证书检查,但放宽某些更严格的验证检查以保持与所有设备之间的通信,甚至是具有证书问题的设备。放宽的检查包括:
不为自签名证书执行过期检查。
对于证书颁发机构 (CA) 签名的证书,放宽的证书吊销列表 (CRL) 检查。
放宽的检查为管理员留出时间以解决任何过期的证书问题,上载受信任的 CA 根和中间证书以及上载相应的 CRL。
在根据需要为您的企业安全策略完成更新后,Hewlett Packard Enterprise 强烈建议您启用严格证书验证检查。有关证书管理的其他信息,请参阅管理证书。
HPE OneView 支持使用自签名证书的设备和使用正式 CA 签名证书的设备。CA 签名的证书具有一些优点,例如,吊销检查和总体简化管理。
用户可以使用 HPE OneView 导入 CA CRL 文件,并为信任存储中的现有证书以及与管理的设备或外部服务器通信期间收到的证书执行相应的吊销检查。