Hola. Mi nombre es Ted. Soy ingeniero sénior del grupo de administración de sistemas de Dell Technologies. En este video, voy a repasar los certificados IRA específicamente para el servidor web. Este es el libro blanco que tenemos para administrar los certificados IRA. Describe tres formas principales de administrar certificados para IRA y cmc.
El primer tipo es el certificado de firma automática, que es el tipo de certificado predeterminado con el que I direct se envía de fábrica. La ventaja es que no es necesario mantener una autoridad de certificación y la IRA genera automáticamente los certificados.
Una desventaja sería que el certificado de cada IRA debe agregarse al almacén de certificados de confianza en cada estación de administración, ya que cada IRA tiene su propia autoridad de certificación en la que se debe confiar para volver a generar el certificado de autociencia. Se utiliza el comando de elemento de rack SSL reset CFG.
Hay una opción de certificado SSL firmado personalizado que aprovecha un certificado de firma creado por su propia autoridad de certificación. Se exporta el certificado en formato P FX con la clave privada que se usará en cada IRA. Este no es un uso común. Las ventajas de un certificado de firma personalizado serían que solo tiene que confiar en una autoridad de certificación para todas sus pistas oculares.
Es posible que el uso de su autoridad de certificación interna ya sea de confianza en todas sus estaciones de administración. Los certificados también son generados automáticamente por la IRA. La desventaja de esto es que es necesario mantener una autoridad de certificación propia. Para este flujo de trabajo. Debe exportar la autoridad de certificación raíz con la clave privada en formato P FX desde su IRA.
A continuación, vaya a los servicios de configuración de IRA, el servidor web, el certificado de firma SSL personalizado e importe la clave privada de su autoridad de certificación en la IRA, que luego se utilizará para firmar todos los certificados que genere la IRA. La tercera opción más común es que una autoridad de certificación tenga un certificado SSL firmado mediante una solicitud de firma incorporada enviada a la autoridad de certificación para crear el certificado del servidor web.
Las ventajas de esto son que puede utilizar cualquier autoridad de certificación comercial y solo tiene que tener una autoridad de certificación de confianza para todos sus seguimientos oculares. Es probable que, si utiliza un C A comercial, sus estaciones de administración ya confíen en este.
La desventaja de esto es la necesidad de comprar certificados comerciales o mantener una autoridad de certificación propia. Repasemos un par de estas opciones. Aquí, en la IRA, podemos ver el certificado que estamos usando actualmente y ver que fue emitido a la IRA por la IRA.
Podemos ver los detalles del certificado que estamos usando en la toma 2 56 con 2048 bits para que nuestra clave pública genere un certificado de firma personalizado a partir de la IRA.
Voy a continuar e iniciar sesión y proceder a la configuración apropiada aquí en los servicios de configuración de IRA. Tenemos la opción de servidor web donde podemos crear una solicitud de firma aquí en el IRA proporcionando el nombre común, el país, la localidad, la organización, el correo electrónico de nuestro estado y cualquier nombre alternativo de asunto que necesitemos para nuestro certificado.
Es importante tener en cuenta que los navegadores más nuevos requieren el nombre alternativo del sujeto o aún le darán una advertencia de certificado cuando acceda a su IRA. Una vez que complete esta información, generará CS R. Se descargará el archivo en el sistema, el cual puede llevar a la autoridad de certificación y firmar para volver a cargarlo.
En este punto, puede cargar un certificado personalizado con el archivo P FX. Es importante tener en cuenta que esto solo funciona en el firmware Ira 4.40, 0.0, 0.0 o posterior. Esta es la opción de cargar un certificado de firma personalizado en el que extrae la clave privada de la autoridad de certificación y, a continuación, se la da a su IRA para que firme sus propios certificados, lo que permite que la estación de administración confíe en los certificados emitidos por la autoridad de certificación interna.
Ahora, voy a repasar este proceso usando Rack Atom antes de IRA 4.40 0.0 0.0. Firmware. Debe separar el par de claves del certificado directamente aquí. Puede ver que he subido el archivo P FX a esta ubicación donde estoy usando Open SSL para dividir esto.
En primer lugar, debemos utilizar la opción sin búsqueda para extraer la clave de este archivo. Le proporcionaré la contraseña para P FX y, luego, ingresaré una nueva frase de contraseña para el lápiz. Ahora que hemos extraído la clave, debemos ponerla en un formato para que el Ira pueda aceptarla. También voy a tener que proporcionar esa nueva contraseña de bolígrafo que acabo de usar.
Al extraer el archivo de clave del P FX. Este comando extraerá el archivo de bolígrafo, que es el certificado, directamente desde PK CS. También debo proporcionar la contraseña de la clave para eso. Ahora que tengo mi clave y archivos comodín de IRA, puedo cargarlos en la IRA directamente usando Rack Atom.
He configurado una ventana de PowerShell aquí para no tener que escribir nombres de usuario o contraseñas o la dirección IP de IRA y simplemente usar esto como tal. Primero, voy a cargar el certificado. Luego, necesito proporcionar la clave privada. Ahora tenemos que restablecer la IRA para que el nuevo certificado pueda surtir efecto.
Esto tardará un momento una vez que la IRA cargue el nuevo certificado, podemos compararlo con el certificado actual que hemos instalado, ahora que la IRA está de vuelta, podemos ver el certificado y ver que fue emitido por mi autoridad de certificación como un certificado comodín.
Otras cosas que podemos hacer, primero, voy a hacer es borrar el certificado SSL nuevamente, ya que estamos restableciendo el certificado SSL, es importante restablecer la IRA para que el nuevo certificado pueda surtir efecto. Ahora, volvemos a nuestro certificado original porque el desvío es específicamente la versión 4.40 0.0 0.0.
También puedo usar este comando para cargar el certificado directamente sin dividir la clave y el certificado por separado. Este tipo es 16 y también se requiere para proporcionar la contraseña a fin de extraer la clave del bolígrafo. Al igual que en otros casos, debo restablecer el seguimiento ocular para que el nuevo certificado surta efecto.
Ahora que la IRA está de vuelta, podemos ver que nuestro certificado comodín se instaló correctamente. Como nota, veo la advertencia de seguridad aquí porque no estoy usando un FQDN. Es punto punto local. Si estuviera usando el FQDN de la IRA con ese nombre de dominio, no volvería a ver esta advertencia de certificado.
Voy a restablecer los valores predeterminados de I direct para poder mostrarte cómo generar un CS R usando un átomo de rango. Ahora que volvemos al certificado original, voy a mostrarle cómo podemos crear un CS R personalizado. Estos son los comandos que voy a ejecutar para crear un CS R personalizado con esto.
Actualizaré estos campos, generaré una nueva CS R y, a continuación, la subiré a mi autoridad de certificación para su firma. Creé este pequeño script de PowerShell para mostrar los campos, completarlos y, a continuación, volver a mostrarlos antes de generar la solicitud de firma. Ahora que los valores están completamente completados.
Voy a generar una CS R para que mi autoridad de certificación la firme. Cuando utilice mi CS R para esto con mi autoridad de certificación, solicito un certificado y envío una solicitud con la información codificada de base 64 que se proporcionó. Tengo que elegir un certificado de servidor web y luego es importante elegir codificado en base 64 y descargar toda la cadena de certificados.
Ahora que se carga el nuevo certificado, también debemos restablecer la IRA para que el nuevo certificado surta efecto. Ahora que el certificado está cargado, podemos ver que fue firmado por mi autoridad de certificación y podemos confirmar los detalles de que ahora estamos usando una clave RS er S A de 40 96 bits nuevamente en la página de servicios de configuración de IRA en nuestro servidor web.
Seleccionaré el certificado de firma personalizado SSL TLS. Ahora que mi certificado de firma personalizado se instaló correctamente, puedo restablecer la IRA ahora para que el nuevo certificado entre en vigor, donde la IRA volverá a generar un certificado de autofirma con las claves privadas que acabo de cargar desde mi autoridad de certificación.
Ahora que nuestra IRA está de vuelta. Podemos ver que fue autogenerado y emitido por nuestra autoridad de certificación porque ahora utiliza el certificado de firma de certificado que hemos proporcionado. Si ya no deseamos utilizar el certificado con firma personalizada, podemos eliminarlo de esta interfaz aquí.
Se elimina el proceso de flujo de trabajo de este certificado, se regenerará automáticamente un nuevo certificado autofirmado y luego se me preguntará si quiero restablecer la IRA para que ese nuevo certificado surta efecto. Ahora que nuestra IRA está respaldada, podemos verificar nuestro certificado y ver que está nuevamente, volver al certificado autoemitido.
También podemos verificar esto con un comando para ver el certificado SSL que concluye mi video sobre los certificados IRA. Muchas gracias por su tiempo. Espero que tenga un buen día.
