关于证书验证

HPE OneView 为设备和外部服务器或装置之间的所有传输层安全 (TLS) 通信执行证书验证。这些检查确保远程端点的保密性、完整性和身份验证。

在生产环境中,Hewlett Packard Enterprise 强烈建议启用证书验证。在不将重点放在安全问题的环境(如测试环境)中,可以选择禁用证书验证。

如果禁用证书验证,则以不安全的方式传输任何敏感数据(如凭据)。请确保仅使用本地用户帐户,而不使用基于企业目录的帐户,以避免在禁用了证书验证时通过网络传输企业登录凭据。

注意:

从早期发行版升级时,当前监视或管理的装置正在使用的证书将导入到 HPE OneView 信任存储并生成问题警报,例如,证书已过期。这些自动添加的证书是装置的自签名证书或证书颁发机构 (CA) 签名的证书的叶证书。通过使用 CA 签名的证书,您可以简化装置信任过程

默认情况下,将启用证书检查,但放宽某些更严格的验证检查以保持与所有装置之间的通信,甚至是具有证书问题的装置。放宽的检查为管理员留出时间以解决任何过期的证书问题,上载受信任的 CA 根和中间证书以及上载相应的 CRL。
注意:

从设备到管理的装置或外部服务器的通信期间,在提供证书时,不会对以下类型的叶证书执行过期检查:

  • 自签名证书:有关自签名证书的其它信息,请参阅证书管理

  • 固定的 CA 签名证书:固定的证书是指 CA 签名叶证书的副本,该证书属于管理的装置或外部服务器并保存到设备信任存储中。

在根据需要为您的企业安全策略完成更新后,Hewlett Packard Enterprise 强烈建议您启用严格证书验证检查。有关证书管理的其它信息,请参阅管理证书

HPE OneView 支持使用自签名证书的装置和使用正式 CA 签名证书的装置。CA 签名的证书具有一些优点,例如,吊销检查和总体简化管理。

用户可以使用 HPE OneView 导入 CA CRL 文件,并为信任存储中的现有证书以及与管理的装置或外部服务器通信期间收到的证书执行相应的吊销检查。