Bonjour. Je m’appelle Ted. Je suis ingénieur senior au sein du groupe de gestion des systèmes chez Dell Technologies. Dans cette vidéo, je vais passer en revue les certificats IRA spécifiquement pour le serveur Web. Il s’agit du livre blanc que nous avons sur la gestion des certificats IRA. Il décrit trois méthodes principales de gestion des certificats pour IRA et cmc.
Le premier type est le certificat auto-signé, qui est le type de certificat par défaut que le I Direct expédie depuis l’usine. L’avantage est que vous n’avez pas besoin de gérer une autorité de certification et que les certificats eux-mêmes sont générés automatiquement par l’IRA.
Un inconvénient serait que le certificat de chaque Ira doit être ajouté au magasin de certificats de confiance sur chaque station de gestion, car chaque Ira a sa propre autorité de certification qui doit être approuvée pour régénérer le certificat d’auto-science. Vous utilisez la commande d’élément de rack SSL reset CFG.
Il existe une option de certificat SSL signé personnalisé qui tire parti d’un certificat de signature créé par votre propre autorité de certification. Vous exportez le certificat au format P FX avec une clé privée à utiliser sur chaque Ira. Il ne s’agit pas d’une utilisation courante. L’avantage d’un certificat de signature personnalisé serait que vous n’avez qu’à faire confiance à une seule autorité de certification pour toutes vos traces oculaires.
Il est possible que l’utilisation de votre autorité de certification interne soit déjà approuvée sur toutes vos stations de gestion. Les certificats sont également générés automatiquement par l’IRA. Cependant, c’est à vous qu’incombe la gestion de votre propre autorité de certification. Pour ce workflow. Vous devez exporter l’autorité de certification racine avec la clé privée au format P FX à partir de votre Ira.
Vous accédez ensuite aux services de paramètres IRA, au serveur Web, au certificat de signature SSL personnalisé et importez la clé privée de votre autorité de certification dans l’IRA, qui sera ensuite utilisée pour signer tous les certificats générés par l’IRA. La troisième option la plus courante consiste pour une autorité de certification en tant que certificat SSL signé à utiliser une demande de signature intégrée soumise à votre autorité de certification pour créer le certificat de serveur Web.
L’avantage est que vous pouvez utiliser n’importe quelle autorité de certification commerciale et que vous n’avez besoin que d’une seule autorité de certification approuvée pour toutes vos traces oculaires. Il est probable que si vous utilisez un C A commercial, vos stations de gestion lui font déjà confiance.
Cette option présente l’inconvénient de devoir acheter des certificats commerciaux ou de gérer votre propre autorité de certification. Passons en revue quelques-unes de ces options. Ici, dans l’IRA, nous pouvons voir le certificat que nous utilisons actuellement et voir qu’il a été délivré à l’IRA par l’IRA.
Nous pouvons voir les détails du certificat que nous utilisons à l’image 2 56 avec 2 048 bits pour notre clé publique afin de générer un certificat de signature personnalisé à partir de l’Ira.
Je vais continuer et me connecter et passer au paramètre approprié ici sous Ira settings services. Nous avons l’option de serveur Web où nous pouvons créer une demande de signature ici dans l’Ira en fournissant le nom commun, le pays, la localité, l’organisation, l’adresse e-mail de notre état et tout autre nom d’objet dont nous avons besoin pour notre certificat.
Il est important de noter que les navigateurs plus récents exigent le nom alternatif de l’objet, sinon ils vous donneront toujours un avertissement de certificat lors de l’accès à votre Ira. Une fois que vous aurez renseigné ces informations, vous générerez le R CS. Il téléchargera le fichier sur votre système, que vous pourrez ensuite transmettre à votre autorité de certification et signer pour le télécharger à nouveau.
À ce stade, vous pouvez télécharger un certificat personnalisé avec le fichier P FX. Il est important de noter que cela ne fonctionne que sur le firmware Ira 4.40 0.0 0.0 ou plus récent. Voici l’option permettant de télécharger un certificat de signature personnalisé dans lequel vous extrayez la clé privée de votre autorité de certification, puis la donnez à votre Ira pour qu’il signe ses propres certificats, ce qui permet à votre station de gestion de faire confiance à tous les certificats émis par votre autorité de certification interne.
Maintenant, je vais passer en revue ce processus en utilisant rack atom avant l’IRA 4.40 0.0 0.0. Microprogramme. Vous devez séparer la paire de clés du certificat directement ici. Vous pouvez voir que j’ai téléchargé le fichier P FX à cet emplacement où j’utilise Open SSL pour le diviser.
Nous devons d’abord utiliser l’option no search pour extraire la clé de ce fichier. Je vais lui fournir le mot de passe du P FX, puis saisir une nouvelle phrase de passe pour le stylet lui-même. Maintenant que nous avons extrait la clé, nous devons la mettre dans un format pour que l’IRA puisse l’accepter. Je vais également devoir fournir la nouvelle phrase de passe que je viens d’utiliser.
Lors de l’extraction du fichier de clé à partir de P FX. Cette commande extrait ensuite le fichier de stylet, qui est le certificat directement à partir de PK CS. Pour cela, je dois également fournir le mot de passe de la clé. Maintenant que j’ai ma clé et mes fichiers de joker Ira, je peux les télécharger directement dans l’IRA à l’aide de rack atom.
J’ai mis en place une fenêtre Powershell ici afin que je n’aie pas à taper des noms d’utilisateur ou des mots de passe ou l’adresse IP IRA et à l’utiliser comme telle. Tout d’abord, je vais télécharger le certificat. Je dois maintenant lui fournir la clé privée. Nous devons maintenant réinitialiser l’IRA pour que le nouveau certificat puisse prendre effet.
Cela prendra un moment une fois que l’IRA aura chargé le nouveau certificat, nous pourrons le comparer avec le certificat actuel que nous avons installé maintenant que l’IRA est sauvegardé. Nous pouvons afficher le certificat et voir qu’il a été émis par mon autorité de certification en tant que certificat générique.
Tout d’abord, je vais effacer à nouveau le certificat SSL. Puisque nous réinitialisons le certificat SSL, il est important de réinitialiser l’IRA pour que le nouveau certificat puisse prendre effet. Nous revenons maintenant à notre certificat d’origine, car la voie latérale correspond spécifiquement à la version 4.40 0.0 0.0.
Je peux également utiliser cette commande pour charger directement le certificat sans séparer la clé et le certificat. Il s’agit du type 16 et est également requis pour fournir le mot de passe permettant d’extraire la clé du stylet. Comme dans d’autres cas, je dois réinitialiser la piste de l’œil pour que le nouveau certificat prenne effet.
Maintenant que l’IRA est de retour, nous pouvons voir que notre certificat générique a été installé avec succès. Notez que l’avertissement de sécurité s’affiche ici, car je n’utilise pas de FQDN. Il s’agit d’un point point local. Si j’utilisais le nom de domaine complet de l’IRA avec ce nom de domaine, cet avertissement de certificat ne s’afficherait plus.
Je vais réinitialiser les valeurs par défaut I direct afin de pouvoir vous montrer comment générer un CS R en utilisant l’atome de rang. Maintenant que nous sommes revenus au certificat d’origine, je vais vous montrer comment créer un CS R personnalisé. Voici les commandes que je vais exécuter pour créer un CS R personnalisé avec cela.
Je vais mettre à jour ces champs, générer un nouveau R CS, puis le télécharger auprès de mon autorité de certification pour signature. J’ai créé ce petit script powershell pour afficher les champs, les remplir puis les afficher à nouveau avant de générer la demande de signature. Maintenant que les valeurs sont entièrement remplies.
Je vais générer un CS R pour que mon autorité de certification le signe lors de l’utilisation de mon CS R pour cela avec mon autorité de certification, je demande un certificat et soumets une demande avec les informations codées en base 64 qui ont été fournies. Je dois choisir un certificat de serveur web, puis il est important de choisir un certificat codé en base 64 et de télécharger l’ensemble de la chaîne de certificats.
Maintenant que le nouveau certificat est téléchargé, nous devons réinitialiser l’IRA pour que le nouveau certificat prenne effet. Maintenant que le certificat est téléchargé, nous pouvons voir qu’il a été signé par mon autorité de certification et nous pouvons confirmer les détails que nous utilisons à nouveau une clé RS er S A 40 96 bits sur la page des services de configuration IRA de notre serveur Web.
Je vais choisir le certificat de signature personnalisé SSL TLS. Maintenant que mon certificat de signature personnalisé est installé avec succès, je peux réinitialiser l’IRA pour que le nouveau certificat prenne effet, où l’IRA régénérera un certificat d’auto-signature à l’aide des clés privées que je viens de télécharger à partir de mon autorité de certification.
Maintenant que notre IRA est de retour. Nous pouvons voir qu’il a été généré automatiquement et qu’il a été émis par notre autorité de certification, car il utilise désormais le certificat de signature de certificat que nous avons fourni. Si nous ne souhaitons plus utiliser le certificat de signature personnalisé, nous pouvons le supprimer de l’interface ici.
Le processus de workflow de ce certificat est supprimé. Il régénère automatiquement un nouveau certificat auto-signé, puis me demande si je souhaite réinitialiser l’IRA pour que ce nouveau certificat prenne effet. Maintenant que notre IRA est de sauvegarde, nous pouvons vérifier notre certificat et voir qu’il l’est à nouveau, revenez au certificat auto-émis.
Nous pouvons également le vérifier avec une commande pour afficher le certificat SSL qui conclut ma vidéo sur les certificats IRA. Merci de votre attention. Je vous souhaite une bonne journée.