从 iDRAC6 开始,可以使用 PKI 创建证书并将证书导入到 iDRAC 中。 这使您对证书创建过程拥有更多控制权,并可以自动执行这些过程。 最后,可以利用此过程创建通配符证书并将其导入 iDRAC。 从安全性角度来看,使用通配符不是最佳做法;但是,用于创建任何外部证书的过程也可以用于通配符证书。
要导入 SSL 证书,您需要一个私钥和该私钥的签名证书。 证书可以是第三方提供或自动生成的。 以下是在 Windows 环境中使用 OpenSSL 创建证书过程的简要示例:
安装将需要作为证书颁发机构运行。 这将允许我们发出或签署证书请求。 这些步骤如下:
bin>openssl.exe genrsa -aes256 -out keys/ca.key 2048
bin>openssl.exe req -config openssl.conf -new -x509 -days 3650 -key keys/ca.key -out certs/ca.cer
私钥和证书可用于证书颁发机构后,我们可以为 iDRAC 创建私钥和 CSR,然后利用我们的证书颁发机构证书对此请求签名。
对于 iDRAC,我们需要有密钥和签名证书才能导入到 Web 服务。 我们可以利用 OpenSSL 来实现这些目标。
bin>openssl.exe req -new -config openssl.conf -newkey rsa:2048 -nodes -keyout idrac.key -out idrac.csr
bin>openssl.exe ca -policy policy_anything -config openssl.conf -cert certs/ca.cer -in requests/idrac_web.csr -keyfile keys/ca.key -days 365 -out certs/idrac_web.cer
有了私钥和证书对,我们可以将密钥和证书上传到 iDRAC。*请注意,对于以下步骤,我将私钥和证书复制到 C 驱动器的根目录,以便于访问并缩短命令的长度。
racadm -r 10.14.177.107 -i sslkeyupload -t 1 -f C:\idrac_web.key
racadm -r 10.14.177.107 -i sslcertupload -t 1 -f c:\idrac_web.cer