Seit iDRAC6 ist es möglich, ein Zertifikat unter Verwendung der PKI zu erstellen und Zertifikate in iDRACs zu importieren. Dies ermöglicht mehr Kontrolle über den Prozess der Zertifikaterstellung und erlaubt die Automatisierung dieser Prozesse. Schließlich kann dieser Prozess auch genutzt werden, um ein Platzhalterzertifikat zu erstellen und in den iDRAC zu importieren. Im Hinblick auf die Sicherheit gehört die Verwendung von Platzhaltern nicht zu den Best Practices. Jedoch kann der Prozess, der zum Erstellen eines externen Zertifikats verwendet wird, auch für die Erstellung eines Platzhalterzertifikats genutzt werden.
Um das SSL-Zertifikat zu importieren, werden ein privater Schlüssel und ein signiertes Zertifikat für diesen Schlüssel benötigt. Zertifikate können von Drittanbietern bereitgestellt oder automatisch erzeugt werden. Nachfolgend finden Sie ein rudimentäres Beispiel für den Zertifikaterstellungsprozess unter Verwendung von OpenSSL in einer Windows-Umgebung:
Die Installation muss als Zertifizierungsstelle (Certificate Authority, CA) fungieren. Auf diese Weise kann eine Zertifikatanforderung ausgestellt oder signiert werden. Die erforderlichen Schritte sind:
bin>openssl.exe genrsa -aes256 -out keys/ca.key 2048
bin>openssl.exe req -config openssl.conf -new -x509 -days 3650 -key keys/ca.key -out certs/ca.cer
Nachdem nun ein privater Schlüssel und ein Zertifikat für die Verwendung als Zertifizierungsstelle verfügbar sind, kann ein privater Schlüssel sowie ein CSR für den iDRAC erstellt und dieser CSR dann mithilfe des CA-Zertifikats unterzeichnet werden.
Für den iDRAC müssen ein Schlüssel und ein signiertes Zertifikat vorliegen, die in die Webdienste importiert werden. Für diese Ziele kann OpenSSL genutzt werden.
bin>openssl.exe req -new -config openssl.conf -newkey rsa:2048 -nodes -keyout idrac.key -out idrac.csr
bin>openssl.exe ca -policy policy_anything -config openssl.conf -cert certs/ca.cer -in requests/idrac_web.csr -keyfile keys/ca.key -days 365 -out certs/idrac_web.cer
Sobald beides vorliegt, können der Schlüssel und das Zertifikat in den iDRAC hochgeladen werden. *Bitte beachten Sie, dass für die folgenden Schritte der private Schlüssel und das Zertifikat in das Stammverzeichnis des C-Laufwerks kopiert wurden, um den Zugriff zu erleichtern und die Länge der Befehle zu verringern.
racadm -r 10.14.177.107 -i sslkeyupload -t 1 -f C:\idrac_web.key
racadm -r 10.14.177.107 -i sslcertupload -t 1 -f c:\idrac_web.cer