Počínaje řadičem iDRAC6 bylo možné vytvořit certifikát pomocí infrastruktury PKI a importovat certifikáty do řadičů iDRAC. To umožňuje získat větší kontrolu nad procesem vytváření certifikátů a automatizaci těchto procesů. Tento proces lze využít k vytvoření a importu certifikátu se zástupnými znaky do řadiče iDRAC. Z pohledu zabezpečení není použití zástupného znaku doporučeným postupem. Proces používaný k vytvoření externího certifikátu však lze využít také pro certifikát se zástupným znakem.
K importu certifikátu SSL budete potřebovat privátní klíč a podepsaný certifikát pro tento klíč. Certifikáty mohou být poskytovány třetí stranou nebo automaticky generovány. Zde je základní příklad procesu vytváření certifikátů s využitím OpenSSL v prostředí Windows:
Instalace Th1e bude muset fungovat jako certifikační autorita. To nám umožní vydat nebo podepsat žádost o certifikát. Zde je postup:
bin>openssl.exe genrsa -aes256 -out keys/ca.key 2048
bin>openssl.exe req -config openssl.conf -new -x509 -days 3650 -key keys/ca.key -out certs/ca.cer
Nyní, když je pro certifikační autoritu k dispozici privátní klíč a certifikát, můžeme pro řadič iDRAC vytvořit privátní klíč a CSR a poté tento požadavek podepsat pomocí certifikátu certifikační autority.
V případě řadiče iDRAC bude nutné mít klíč a podepsaný certifikát pro import do webových služeb. K dosažení těchto cílů můžeme využít OpenSSL.
bin>openssl.exe req -new -config openssl.conf -newkey rsa:2048 -nodes -keyout idrac.key -out idrac.csr
bin>openssl.exe ca -policy policy_anything -config openssl.conf -cert certs/ca.cer -in requests/idrac_web.csr -keyfile keys/ca.key -days 365 -out certs/idrac_web.cer
Pomocí páru privátního klíče a certifikátu můžeme klíč a certifikát nahrát do řadiče iDRAC. *Upozorňujeme, že pro následující kroky jsem zkopíroval privátní klíč a certifikát do kořenového adresáře jednotky C pro snazší přístup a zkrácení příkazů.
racadm -r 10.14.177.107 -i sslkeyupload -t 1 -f C:\idrac_web.key
racadm -r 10.14.177.107 -i sslcertupload -t 1 -f c:\idrac_web.cer