iDRAC6以降、PKIを利用して証明書を作成し、証明書をiDRACにインポートすることが可能になりました。 これにより、証明書の作成プロセスをより詳細に制御し、これらのプロセスを自動化することができます。 最終的には、このプロセスを活用して、ワイルドカード証明書を作成してiDRACにインポートすることができます。 セキュリティの観点から見て、ワイルドカードの使用はベスト プラクティスではありません。しかしながら、外部証明書の作成に使用されるプロセスは、ワイルドカード証明書にも使用できます。
SSL証明書をインポートするには、プライベート キーと、そのキーの署名済み証明書が必要です。 証明書は、サード パーティーによるものか、自動生成することができます。 以下に、Windows環境でOpenSSLを使用した基本的な証明書作成プロセスの例を示します。
インストールにより認証局として機能する必要があります。 これにより、証明書リクエストを発行または署名できます。 これらの手順は次のとおりです。
bin>openssl.exe genrsa -aes256 -out keys/ca.key 2048
bin>openssl.exe req -config openssl.conf -new -x509 -days 3650 -key keys/ca.key -out certs/ca.cer
これで、認証局にプライベート キーと証明書を使用できるようになりました。iDRACのプライベート キーとCSRを作成し、認証局の証明書を活用してこのリクエストに署名することができます。
iDRACの場合、Webサービスにインポートするには、キーと署名済み証明書が必要です。 OpenSSLを活用するとこれらの目標を達成できます。
bin>openssl.exe req -new -config openssl.conf -newkey rsa:2048 -nodes -keyout idrac.key -out idrac.csr
bin>openssl.exe ca -policy policy_anything -config openssl.conf -cert certs/ca.cer -in requests/idrac_web.csr -keyfile keys/ca.key -days 365 -out certs/idrac_web.cer
プライベート キーと証明書のペアを使用して、キーと証明書をiDRACにアップロードできます。*次の手順では、アクセスを容易にし、コマンドの長さを減らすために、プライベート キーと証明書をCドライブのルートにコピーしている点に注意してください。
racadm -r 10.14.177.107 -i sslkeyupload -t 1 -f C:\idrac_web.key
racadm -r 10.14.177.107 -i sslcertupload -t 1 -f c:\idrac_web.cer