Fra og med iDRAC6 har det vært mulig å opprette et sertifikat som utnytter PKI og importere sertifikater til iDRAC-ene. Det gjør det mulig å ha mer kontroll over opprettingsprosessen for sertifikater og gjør det mulig å automatisere disse prosessene. Til slutt kan denne prosessen brukes til å opprette og importere et jokertegnsertifikat til iDRAC. Bruk av jokertegn er ikke en anbefalt fremgangsmåte fra et sikkerhetsfotpunkt. Prosessen som brukes til å opprette eksterne sertifikater, kan imidlertid også brukes for et jokertegnsertifikat.
Hvis du vil importere SSL-sertifikatet, trenger du en privat nøkkel og et signert sertifikat for denne nøkkelen. Sertifikater kan leveres fra tredjepart eller genereres automatisk. Her er et sekundært eksempel på sertifikatopprettingsprosessen ved hjelp av OpenSSL i et Windows-miljø:
Installeringen må fungere som en sertifikatmyndighet. Dette gjør det mulig for oss å utstede eller signere en sertifikatforespørsel. Her er disse trinnene:
bin>openssl.exe genrsa -aes256 -out keys/ca.key 2048
bin>openssl.exe req -config openssl.conf -new -x509 -days 3650 -key keys/ca.key -out certs/ca.cer
Nå som en privat nøkkel og et sertifikat er tilgjengelig for bruk for en sertifikatmyndighet, kan vi opprette en privat nøkkel og CSR for iDRAC, og deretter signere denne forespørselen ved hjelp av sertifikatmyndighetssertifikatet vårt.
For iDRAC må vi ha en nøkkel og et signert sertifikat for å importere til webtjenestene. Vi kan dra nytte av OpenSSL for å nå disse målene.
bin>openssl.exe req -new -config openssl.conf -newkey rsa:2048 -nodes -keyout idrac.key -out idrac.csr
bin>openssl.exe ca -policy policy_anything -config openssl.conf -cert certs/ca.cer -in requests/idrac_web.csr -keyfile keys/ca.key -days 365 -out certs/idrac_web.cer
Med et par med privat nøkkel og sertifikat kan vi laste opp nøkkelen og sertifikatet til iDRAC. *Vær oppmerksom på at for følgende trinn kopierte jeg den private nøkkelen og sertifikatet til roten av C-stasjonen for enkel tilgang og for å redusere lengden på kommandoene.
racadm -r 10.14.177.107 -i sslkeyupload -t 1 -f C:\idrac_web.key
racadm -r 10.14.177.107 -i sslcertupload -t 1 -f c:\idrac_web.cer