关于证书验证

HPE OneView 为设备和外部服务器或装置之间的所有传输层安全 (TLS) 通信执行证书验证。这些检查确保远程端点的保密性、完整性和身份验证。

在生产环境中,Hewlett Packard Enterprise 强烈建议启用证书验证。在不将重点放在安全问题的环境(如测试环境)中,可以选择禁用证书验证。

如果禁用证书验证,则以不安全的方式传输任何敏感数据(如凭据)。请确保仅使用本地用户帐户,而不使用基于企业目录的帐户,以避免在禁用了证书验证时通过网络传输企业登录凭据。

如果禁用,设备不会为任何 HTTPS 通信执行信任检查。

如果启用,将执行证书信任检查。必须在信任存储中具有自签名证书,并且 CA 签名的证书必须在信任存储中具有 CA 根证书和任何中间证书。

您可以选中证书屏幕中的检查过期的叶证书复选框,以启用过期的叶证书检查。通过启用该选项,设备可以在通信期间对装置叶证书和自签名证书执行过期检查。默认情况下,将禁用检查过期的叶证书选项。
注意:

检查过期的叶证书选项仅验证装置叶证书,而不适用于装置在通信期间向 HPE OneView 提供的 CA 证书。

注意:

从早期发行版升级时,当前监视或管理的装置正在使用的证书将导入到 HPE OneView 信任存储并生成问题警报,例如,证书已过期。这些自动添加的证书是装置的自签名证书或证书颁发机构 (CA) 签名的证书的叶证书。通过使用 CA 签名的证书,您可以简化装置信任过程

默认情况下,将启用证书检查,但放宽某些更严格的验证检查以保持与所有装置之间的通信,甚至是具有证书问题的装置。放宽的检查为管理员留出时间以解决任何过期的证书问题,上载受信任的 CA 根和中间证书以及上载相应的 CRL。在将 CA 根证书添加到信任存储时,将会激活更严格的证书验证。确保 CA 签名的所有装置证书的通用名称与装置的主机名匹配。如果不匹配,可能会导致与以前添加的任何管理的装置之间的受信任通信(由 CA 签名)中断。

注意:

从设备到管理的装置或外部服务器的通信期间,在提供证书时,不会对以下类型的叶证书执行过期检查:

  • 自签名证书:有关自签名证书的其他信息,请参阅证书管理

  • 固定的 CA 签名证书:固定的证书是指 CA 签名叶证书的副本,该证书属于管理的装置或外部服务器并保存到设备信任存储中。

在根据需要为您的企业安全策略完成更新后,Hewlett Packard Enterprise 强烈建议您通过管理证书屏幕启用严格的证书验证检查。从该屏幕中,您可以根据状况筛选证书、编辑证书、删除证书、添加证书以及搜索证书。您可以使用名称、状态或到期日期搜索证书。仅在搜索结果中显示前 100 个证书。

HPE OneView 支持使用自签名证书的装置和使用正式 CA 签名证书的装置。CA 签名的证书具有一些优点,例如,吊销检查和总体简化管理。

用户可以使用 HPE OneView 导入 CA CRL 文件,并为信任存储中的现有证书以及与管理的装置或外部服务器通信期间收到的证书执行相应的吊销检查。

证书吊销列表 (CRL)

简而言之,证书吊销列表 (CRL) 是证书颁发机构在到期日期之前吊销的证书列表。CRL 用于确保数字证书不会失效。

默认情况下,将启用证书吊销检查。不过,如果没有为 CA 颁发的证书导入匹配的 CRL,或者 CRL 已过期,则可以将设备配置为在建立 HTTPS 连接时绕过关联的证书的吊销检查。

您可以在证书屏幕上启用或禁用吊销的证书验证,以根据已上载的 CRL 检查证书。

HPE OneView 控制处理 CRL 的方式。您可以在证书屏幕上使用以下选项:
  • 在 CRL 不可用时跳过吊销检查

    在证书验证期间,该选项控制 HPE OneView 是否将缺少的 CRL 视为错误。默认情况下,将启用该选项,并且 HPE OneView 执行总体证书验证,但吊销检查除外。

  • 允许过期的 CRL

    该设置控制 HPE OneView 如何处理过期的 CRL。如果启用,HPE OneView 允许使用过期的 CRL,并继续为该 CRL 执行吊销检查。请参阅通知缺失或过期的 CRL,以便发布警报以提醒管理员更新过期的 CRL。

  • 发送 CRL 状况通知

    如果启用,在没有为 CA 上载 CRL,CRL 即将过期或 CRL 已过期时,将显示警报。

  • 自动 CRL 下载

    如果启用,HPE OneView 自动下载设备中存在的所有 CA 的 CRL。默认情况下,将禁用该选项。