Tausta
iDRAC6:sta alkaen on ollut mahdollista luoda PKI:ta hyödyntävä varmenne ja tuoda varmenteet iDRACeihin. Tämä parantaa varmenteen luontiprosessin hallintaa ja antaa mahdollisuuden näiden prosessien automatisointiin. Lisäksi tämän prosessin avulla voidaan luoda yleismerkkivarmenne ja tuoda se iDRACiin. Vaikka yleismerkkien käyttö ei ole tietoturvan kannalta parhaan käytännön mukaista, ulkoisen varmenteen luontiprosessia voi kuitenkin hyödyntää myös yleismerkkivarmenteessa.
Sisällysluettelo
- Varmenteen luonti OpenSSL:n avulla
- Yksityisen avaimen luonti ja varmenteen allekirjoitus
- Varmenteen lataaminen iDRACiin
SSL-tuontia varten tarvitaan yksityinen avain ja kyseisen avaimen allekirjoitettu varmenne. Varmenteiden myöntäjä voi olla ulkopuolinen taho, tai ne voidaan muodostaa automaattisesti. Yksinkertainen esimerkki OpenSSL:ää käyttävän varmenteen luontiprosessista Windows-ympäristössä:
1. OpenSSL:n yksityisen avaimen ja varmenteen käyttäminen varmenteen myöntäjänä
Asennuksen on toimittava varmenteen myöntäjänä. Tällä tavoin varmennepyyntö voidaan tehdä ja allekirjoittaa. Ohjeet:
- Varmenteen myöntäjän yksityisen avaimen luominen:
- Yksityiselle avaimelle on annettava salasana. Salasanaa tarvitaan myöhemmin, joten se kannattaa kirjoittaa muistiin.
bin>openssl.exe genrsa -aes256 -out keys/ca.key 2048
- Varmenteen myöntäjän varmenteen luominen luodun avaimen avulla:
- Sinulta kysytään varmennetta koskevia tietoja. Näitä tietoja ovat esimerkiksi yleinen nimi ja sijaintitiedot. Tärkein kenttä on Common name. Se ilmaisee varmenteen myöntäjän identiteetin, joka ilmaistaan myös varmenteessa. Yleensä sen on vastattava nimeä, jolla järjestelmää käytetään (kuten DNS-isäntänimeä). Tämä kenttä on korostettu seuraavassa näyttökuvassa.
bin>openssl.exe req -config openssl.conf -new -x509 -days 3650 -key keys/ca.key -out certs/ca.cer
Nyt kun yksityinen avain ja varmenne ovat varmenteen myöntäjän käytettävissä, iDRACille voidaan luoda yksityinen avain ja CSR, jonka jälkeen tämä pyyntö allekirjoitetaan käyttämällä varmenteen myöntäjän varmennetta.
2. Yksityisen avaimen, varmenteen allekirjoituspyynnön ja iDRAC-verkkopalvelujen varmenteen luominen
iDRACia varten tarvitaan avain ja verkkopalveluihin tuotava allekirjoitettu varmenne. Ne saadaan käyttämällä OpenSSL:ää.
- Ensiksi on luotava yksityinen avain ja varmenteen allekirjoituspyyntö (CSR), joka voidaan sitten allekirjoittaa varmenteen myöntäjän varmenteella. Avain ja CSR voidaan luoda samassa vaiheessa:
- Varmenteen tiedot on annettava. Varmenteen yleisen nimen on vastattava nimeä, jolla idracia käytetään. Se näkyy korostettuna seuraavassa kuvassa.
- Lisäksi luotavalle yksityiselle avaimelle tarvitaan tunnuslause. Se näkyy korostettuna seuraavassa kuvassa.
bin>openssl.exe req -new -config openssl.conf -newkey rsa:2048 -nodes -keyout idrac.key -out idrac.csr
- Seuraavaksi varmenteen myöntäjän on allekirjoitettava luotu varmenne.
bin>openssl.exe ca -policy policy_anything -config openssl.conf -cert certs/ca.cer -in requests/idrac_web.csr -keyfile keys/ca.key -days 365 -out certs/idrac_web.cer
- Käytössä on nyt osat, jotka on ladattava idraciin. Niistä ensimmäinen on yksityinen avain (idrac_web.key) ja toinen allekirjoitettu varmenne (idrac_web.cer).
3. Varmenteen lataaminen iDRACiin
Yksityinen avain ja varmenne muodostavat parin, joten avain ja varmenne voidaan ladata iDRACiin. *On huomattava, että seuraavissa vaiheissa yksityinen avain ja varmenne on kopioitu C-aseman juureen, mikä helpottaa käyttöä ja lyhentää komentojen pituutta.
- Ensimmäiseksi ladataan varmenne:
- Tässä on käytetty racadm-etäkomentoa ja vuorovaikutteista vaihtoehtoa.
racadm -r 10.14.177.107 -i sslkeyupload -t 1 -f C:\idrac_web.key
- Avaimen lataamisen jälkeen varmenne on ladattava. Siihen käytetään seuraavaa komentoa:
racadm -r 10.14.177.107 -i sslcertupload -t 1 -f c:\idrac_web.cer
- Kun verkkoliittymää voi taas käyttää, varmenne on tarkistettava. Se voidaan tehdä käyttämällä verkkokäyttöliittymää missä tahansa selaimessa ja tarkastamalla sitten varmenne. On varmistettava, että varmenne vastaa määritettyä yleistä nimeä ja että sen myöntäjä on varmenteen myöntäjässä määritetty yleinen nimi: