CA ITCM-Sicherheitsfunktionen › Authentifizierung › Basis-Hostidentitätszertifikate

Basis-Hostidentitätszertifikate

Jeder CA ITCM-Knoten verfügt über ein Zertifikat, in dem die Basis-Hostidentität (BHI) standardmäßig installiert ist. Andere Zertifikate für spezielle Zwecke werden mit den Diensten installiert, die diese Zertifikate erforderlich machen (Informationen finden Sie unter "Aktuelle Zertifikate"). Die CA IT Client Manager-Installation wird mit einem Standardzertifikat geliefert, das mit einem CA ITCM-Root-Zertifikat signiert ist. Dieses Zertifikat wird auf jedem CA ITCM-Knoten des Unternehmens installiert.

Es wird empfohlen, dass Endbenutzer das Erstellen ihrer eigenen Root-Zertifikate, Basis-Hostidentitätszertifikate (BHI) und der anwendungsspezifischen Zertifikate planen. Informationen zum Ersetzen der Standardzertifikate durch spezielle Zertifikate des Endbenutzers finden Sie unter "So importieren Sie Ihre eigenen X.509-Zertifikate in das Installations-Image".

Beim Erstellen neuer BHI-Zertifikate sind drei primäre Paradigmen zu beachten:

• Erstellen Sie ein einzelnes Hostidentitätszertifikat, das auf allen CA ITCM-Knoten des Enterprises verwendet wird. Dies ist die einfachste Lösung, da das benutzerdefinierte Installations-Image nur einmal erzeugt werden muss, um ein auf die Anforderungen abgestimmtes Paket zu erstellen.
• Erstellen eines eindeutigen Hostidentitätszertifikats für jeden Knoten im DSM-Enterprise. Dies ist die komplexeste Lösung. Der DN, der jedem Knoten zugewiesen wird, muss eindeutig sein und die Identität des Hostrechners wiedergeben. Ein vollständig qualifizierter Hostname reicht üblicherweise aus. Sie benötigen ein benutzerdefiniertes Installations-Image, um die entsprechende Zertifikatdatei auf dem Zielrechner zu installieren.
• Eine Kombination aus den beiden oben genannten Paradigmen. Erstellen Sie ein einzelnes Hostidentitätszertifikat, das auf den meisten CA ITCM-Knoten verwendet wird. Erstellen Sie auf die Anforderungen abgestimmte Zertifikate zur Verwendung auf dem DSM-Scalability-Server und auf den Managerknoten. Wenn Sie eine Anforderung für ein angepasstes Zertifikat ermittelt haben, stellen Sie ein neues Zertifikat aus und installieren es auf dem angegebenen Knoten. Dies ist die flexibelste Lösung. Wichtige Knoten im Unternehmen werden effizienter identifiziert und geschützt.