Olá. Meu nome é Ted. Sou engenheiro sênior do grupo de gerenciamento de sistemas da Dell Technologies. Neste vídeo, vou analisar os certificados IRA especificamente para o servidor Web. Este é o white paper que temos sobre o gerenciamento de certificados IRA. Ele descreve três maneiras principais de gerenciar certificados para IRA e CMC's.
O primeiro tipo é o certificado de autoassinatura, que é o tipo de certificado padrão fornecido diretamente de fábrica. A vantagem é que você não precisa manter uma autoridade de certificação e os certificados em si são gerados automaticamente pelo IRA.
Uma desvantagem seria que o certificado para cada Ira tem que ser adicionado ao armazenamento de certificados confiáveis em cada estação de gerenciamento, porque cada Ira tem sua própria autoridade de certificação que deve ser confiável para regenerar o certificado de autociência. Use o comando de redefinição de SSL CFG do item de rack.
Há uma opção de certificado SSL assinado personalizado que aproveita um certificado de assinatura criado por sua própria autoridade de certificação. Você exporta o certificado no formato P FX com chave privada para usar em cada Ira. Esse não é um uso comum. As vantagens de um certificado de sinal personalizado seriam, você só precisa confiar em uma autoridade de certificação para todos os seus rastreamentos oculares.
É possível que o uso de sua autoridade de certificação interna já seja confiável em todas as suas estações de gerenciamento. Os certificados também são gerados automaticamente pelo IRA. A desvantagem deles é que é necessário manter sua própria autoridade de certificação. Para esse fluxo de trabalho. Você precisa exportar a autoridade de certificação raiz com a chave privada no formato P FX do seu Ira.
Em seguida, você vai para os serviços de configurações do IRA, servidor Web, certificado de assinatura SSL personalizado e importa a chave privada da sua autoridade de certificação para o IRA, que será usada para assinar todos os certificados gerados pelo IRA. A terceira opção mais comum é para uma autoridade de certificação como certificado SSL assinado usando uma solicitação de assinatura interna enviada à autoridade de certificação para criar o certificado do servidor Web.
As vantagens disso são que você pode usar qualquer autoridade de certificação comercial e você só precisa ter uma autoridade de certificação confiável para todos os seus rastreamentos oculares. Provavelmente, se estiver usando um C A comercial, isso já é confiável por suas estações de gerenciamento.
A desvantagem disso seria ter que comprar certificados comerciais ou manter sua própria autoridade de certificação. Vamos analisar algumas dessas opções. Aqui no IRA, podemos visualizar o certificado que estamos usando atualmente e ver que ele foi emitido para o IRA pelo IRA.
Podemos ver os detalhes do certificado que estamos usando na captura 2 56 com 2048 bits para nossa chave pública para gerar um certificado de assinatura personalizado do IRA.
vá em frente, faça login e prossiga para a configuração apropriada aqui nos serviços de configurações do IRA. Temos a opção de servidor web onde podemos criar uma solicitação de assinatura aqui no Ira fornecendo nome comum, país, localidade, organização, e-mail de estado e qualquer nome alternativo de assunto que precisamos para o nosso certificado.
É importante notar que os navegadores mais recentes exigem o nome alternativo do assunto ou ainda lhe darão um aviso de certificado ao acessar seu Ira. Depois de preencher essas informações, você gerará o CS R. Ele fará o download do arquivo para o seu sistema, que você pode levar para a autoridade de certificação e ser assinado para carregar novamente.
Neste ponto, você pode fazer upload de um certificado personalizado com o arquivo P FX. É importante observar que isso só funciona no firmware Ira 4.40 0.0 0.0 ou mais recente. Esta é a opção de carregar um certificado de assinatura personalizado em que você extrai a chave privada da autoridade de certificação e, em seguida, a entrega ao Ira para assinar seus próprios certificados, permitindo assim que sua estação de gerenciamento confie em todos os certificados emitidos pela autoridade de certificação interna.
Agora, vou analisar esse processo usando o átomo de rack antes do IRA 4.40 0.0 0.0. Firmware. Você precisa separar o par de chaves do certificado diretamente aqui. Você pode ver que carreguei o arquivo P FX neste local onde estou usando o Open SSL para dividir isso.
Primeiro, é necessário usar a opção no search para extrair a chave desse arquivo. Vou fornecer a senha do P FX e, em seguida, digitar uma nova frase secreta para a caneta em si. Agora que extraímos a chave, devemos colocá-la em um formato para que o Ira possa aceitá-la. Também vou ter que passar aquela nova frase de senha que acabei de usar.
Ao extrair o arquivo de chave do FX P. Esse comando extrairá o arquivo da caneta, que é o certificado, diretamente do PK CS. Também devo informar a senha da chave para isso. Agora que tenho minha chave e meus arquivos curinga do Ira, posso enviá-los para o IRA diretamente usando o atom de rack.
Eu configurei uma janela do powershell aqui para que eu não tenha que digitar nomes de usuário ou senhas ou o endereço IP IRA e apenas usar isso como tal. Primeiro, vou carregar o certificado. Agora, preciso informar a chave privada. Agora precisamos redefinir o IRA para que o novo certificado possa entrar em vigor.
Isso levará um momento assim que o IRA carregar o novo certificado, podemos compará-lo com o certificado atual que instalamos agora que o IRA está de backup, podemos visualizar o certificado e ver que ele foi emitido pela minha autoridade de certificação como um certificado curinga.
Coisas adicionais que podemos fazer, primeiro, vou fazer é limpar o certificado SSL novamente, já que estamos redefinindo o certificado SSL, é importante redefinir o IRA para que o novo certificado possa entrar em vigor. Agora, estamos de volta ao nosso certificado original porque o sidetrack é especificamente a versão 4.40 0.0 0.0.
Também posso usar esse comando para carregar o certificado diretamente sem dividir a chave e o certificado. É o tipo 16 e também é necessário fornecer a senha para extrair a chave da caneta. Como em outros casos, tenho que redefinir a trilha de olho para que o novo certificado entre em vigor.
Agora que o IRA está de volta, podemos ver que nosso certificado curinga foi instalado com sucesso. Como observação, estou vendo o aviso de segurança aqui porque não estou usando um FQDN. É ponto ponto local. Se eu estivesse usando o FQDN do IRA com esse nome de domínio, não estaria vendo esse aviso de certificado novamente.
Vou redefinir os padrões I direct para que eu possa mostrar como gerar um CS R usando o átomo de classificação. Agora que voltamos ao certificado original, vou mostrar como podemos criar um CS R personalizado. Aqui estão os comandos que vou executar para criar um CS R personalizado com isso.
Vou atualizar esses campos, gerar um novo CS R e carregá-lo na minha autoridade de certificação para assinatura. Criei este pequeno script do PowerShell para exibir os campos, preenchê-los e, em seguida, exibi-los novamente antes de gerar a solicitação de assinatura. Agora que os valores estão totalmente preenchidos.
Vou gerar um CS R para que minha autoridade de certificação assine ao usar meu CS R para isso com minha autoridade de certificação. Solicito um certificado e envio uma solicitação com as informações codificadas de base 64 que foram fornecidas. Eu tenho que escolher um certificado de servidor web e, em seguida, é importante escolher base 64 codificada e baixar toda a cadeia de certificados.
Agora que o novo certificado foi carregado, devemos redefinir o IRA também para que o novo certificado entre em vigor. Agora que o certificado foi carregado, podemos ver que ele foi assinado pela minha autoridade de certificação, bem como podemos confirmar os detalhes de que agora estamos usando uma chave RS er S A de 40 96 bits novamente na página de serviços de configuração IRA em nosso servidor web.
Vou escolher o certificado de assinatura personalizado SSL TLS. Agora que meu certificado de assinatura personalizada foi instalado com sucesso, posso redefinir o IRA para que o novo certificado entre em vigor, onde o IRA gerará novamente um certificado de autoassinatura usando as chaves privadas que acabei de carregar nele da minha autoridade de certificação.
Agora que o nosso IRA está de volta. Podemos ver que ele foi gerado automaticamente e emitido por nossa autoridade de certificação porque agora está usando o certificado de assinatura de certificado que fornecemos. Se eu não quiser mais usar o certificado de assinatura personalizado, poderei excluir o certificado de assinatura desta interface.
O processo de fluxo de trabalho deste certificado é removido, ele irá regenerar automaticamente um novo certificado auto-assinado e, em seguida, perguntar-me se eu quero redefinir o IRA para que o novo certificado entre em vigor. Agora que nosso IRA está de volta, podemos verificar nosso certificado e ver que é novamente, retornar ao certificado auto emitido.
Também podemos verificar isso com um comando para visualizar o certificado SSL que conclui meu vídeo sobre certificados IRA. Obrigado por assistir. Espero que tenha um ótimo dia.
