從 iDRAC6 開始,可以使用公開金鑰基礎結構建立憑證,並將憑證匯入 iDRAC。 它可讓您進一步控制憑證建立程序,並可將這些程序自動化。 最後,您可以利用此程序建立萬用字元憑證並匯入 iDRAC。 從安全性角度來看,使用萬用字元並不是最佳實務;但是,用於建立任何外部憑證的程序也可以運用於萬用字元憑證。
若要匯入 SSL 憑證,您需要私密金鑰和該金鑰的簽署憑證。 憑證可由第三方提供或自動產生。 以下是在 Windows 環境中使用 OpenSSL 建立憑證程序的簡要範例:
安裝必須以認證機構的身分運作。 這可讓我們發出或簽署認證要求。 以下為執行步驟:
bin>openssl.exe genrsa -aes256 -out keys/ca.key 2048
bin>openssl.exe req -config openssl.conf -new -x509 -days 3650 -key keys/ca.key -out certs/ca.cer
現在私人金鑰和憑證可供認證機構使用,我們可以為 iDRAC 建立私密金鑰和 CSR,然後利用我們的認證機構憑證來簽署此要求。
若為 iDRAC,我們需要有金鑰和簽署憑證才能匯入 Web 服務。 我們可以利用 OpenSSL 來達成這些目標。
bin>openssl.exe req -new -config openssl.conf -newkey rsa:2048 -nodes -keyout idrac.key -out idrac.csr
bin>openssl.exe ca -policy policy_anything -config openssl.conf -cert certs/ca.cer -in requests/idrac_web.csr -keyfile keys/ca.key -days 365 -out certs/idrac_web.cer
透過私密金鑰和憑證配對,我們可以將金鑰和憑證上傳至 iDRAC。*請注意,在下列步驟中,我將私密金鑰和憑證複製到 C 磁碟機的根,以便輕鬆存取並縮短命令長度。
racadm -r 10.14.177.107 -i sslkeyupload -t 1 -f C:\idrac_web.key
racadm -r 10.14.177.107 -i sslcertupload -t 1 -f c:\idrac_web.cer