A partire da iDRAC6, è stato possibile creare un certificato sfruttando la PKI e importare i certificati in iDRAC. Consente di avere un maggiore controllo sul processo di creazione dei certificati e di automatizzare questi processi. Infine, questo processo può essere sfruttato per creare e importare un certificato jolly in iDRAC. Dal punto di vista della sicurezza, l'utilizzo di caratteri jolly non è una best practice; Tuttavia, il processo utilizzato per creare qualsiasi certificato esterno può essere utilizzato anche per un certificato jolly.
Per importare il certificato SSL, sono necessari una chiave privata e un certificato firmato per tale chiave. I certificati possono essere forniti da terze parti o generati automaticamente. Di seguito è riportato un esempio rudimentale di processo di creazione dei certificati che utilizza OpenSSL in un ambiente Windows:
L'installazione di Th1e dovrà funzionare come autorità di certificazione. In questo modo sarà possibile emettere o firmare una richiesta di certificato. Di seguito sono riportati i passaggi seguenti:
bin>openssl.exe genrsa -aes256 -out keys/ca.key 2048
bin>openssl.exe req -config openssl.conf -new -x509 -days 3650 -key keys/ca.key -out certs/ca.cer
Ora che una chiave privata e un certificato sono disponibili per l'utilizzo per un'autorità di certificazione, è possibile creare una chiave privata e una CSR per iDRAC e quindi firmare questa richiesta utilizzando il certificato dell'autorità di certificazione.
Per iDRAC, sarà necessario disporre di una chiave e un certificato firmato per l'importazione nei servizi web. Possiamo sfruttare OpenSSL per raggiungere questi obiettivi.
bin>openssl.exe req -new -config openssl.conf -newkey rsa:2048 -nodes -keyout idrac.key -out idrac.csr
bin>opensl.exe ca -policy policy_anything -config openssl.conf -cert certs/ca.cer -in requests/idrac_web.csr -keyfile keys/ca.key -days 365 -out certs/idrac_web.cer
Con una chiave privata e una coppia di certificati, è possibile caricare la chiave e il certificato in iDRAC. *Per i seguenti passaggi, ho copiato la chiave privata e il certificato nella radice dell'unità C per semplificare l'accesso e ridurre la lunghezza dei comandi.
racadm -r 10.14.177.107 -i sslkeyupload -t 1 -f C:\idrac_web.key
racadm -r 10.14.177.107 -i sslcertupload -t 1 -f c:\idrac_web.cer