Dell PowerEdge: Slik importerer du et eksternt opprettet tilpasset sertifikat og en privat nøkkel til iDRAC

Bakgrunn

Fra og med iDRAC6 har det vært mulig å opprette et sertifikat som utnytter PKI og importere sertifikater til iDRAC-ene.  Det gjør det mulig å ha mer kontroll over opprettingsprosessen for sertifikater og gjør det mulig å automatisere disse prosessene.  Til slutt kan denne prosessen brukes til å opprette og importere et jokertegnsertifikat til iDRAC.  Bruk av jokertegn er ikke en anbefalt fremgangsmåte fra et sikkerhetsfotpunkt. Prosessen som brukes til å opprette eksterne sertifikater, kan imidlertid også brukes for et jokertegnsertifikat.

 

Innholdsfortegnelse

1. Oppretting av sertifikat ved hjelp av OpenSSL
2. Oppretting av privat nøkkel og signering av sertifikat
3. Last opp sertifikat i iDRAC

Hvis du vil importere SSL-sertifikatet, trenger du en privat nøkkel og et signert sertifikat for denne nøkkelen.  Sertifikater kan leveres fra tredjepart eller genereres automatisk.  Her er et sekundært eksempel på sertifikatopprettingsprosessen ved hjelp av OpenSSL i et Windows-miljø:

1. OpenSSL Private Key og sertifikat for bruk som sertifikatmyndighet

Installeringen må fungere som en sertifikatmyndighet.  Dette gjør det mulig for oss å utstede eller signere en sertifikatforespørsel.  Her er disse trinnene:

1. Opprette den private CA-nøkkelen:
   • Du må oppgi et passord for den private nøkkelen.  Dette vil være nødvendig senere, så husk dette.

 bin>openssl.exe genrsa -aes256 -out keys/ca.key 2048

1. Opprette CA-sertifikatet ved hjelp av den opprettede nøkkelen:
   • Du vil bli bedt om å oppgi detaljer om sertifikatet.  Disse inkluderer fellesnavnet og posisjonsdataene.  Det viktigste feltet her er fellesnavnet.  Dette går til identiteten til ca., og vil bli vist i sertifikatet.  Dette må vanligvis samsvare med navnet som vil være tilgang til systemet (DNS-vertsnavn for forekomst).  Dette feltet er uthevet i skjermbildet nedenfor.

bin>openssl.exe req -config openssl.conf -new -x509 -days 3650 -key keys/ca.key -out certs/ca.cer

Nå som en privat nøkkel og et sertifikat er tilgjengelig for bruk for en sertifikatmyndighet, kan vi opprette en privat nøkkel og CSR for iDRAC, og deretter signere denne forespørselen ved hjelp av sertifikatmyndighetssertifikatet vårt.

 

2. Opprette en privat nøkkel, forespørsel om sertifikat signering og sertifikat for iDRAC-webtjenester

For iDRAC må vi ha en nøkkel og et signert sertifikat for å importere til webtjenestene.  Vi kan dra nytte av OpenSSL for å nå disse målene.

1. Først må vi opprette en privat nøkkel og en forespørsel om sertifikat signering (CSR) som vi deretter kan signere ved hjelp av ca-sertifikatet.  Nøkkelen og CSR kan opprettes i samme trinn:
   1. Du må fylle ut sertifikatdetaljene.  Det vanlige navnet på dette sertifikatet skal samsvare med navnet som vi skal få tilgang til idrac. Uthevet nedenfor
   2. Vær også oppmerksom på at du må inkludere en passfrase for den private nøkkelen som opprettes. Uthevet nedenfor

bin>openssl.exe req -new -config openssl.conf -newkey rsa:2048 -nodes -keyout idrac.key -out idrac.csr

2. Deretter må sertifikatet vi opprettet, signeres av sertifikatmyndigheten.

bin>openssl.exe ca -policy policy_anything -config openssl.conf -cert certs/ca.cer -in requests/idrac_web.csr -keyfile keys/ca.key -days 365 -out certs/idrac_web.cer

3. Vi har nå de nødvendige komponentene for å laste opp til idrac.  Den første av disse er den private nøkkelen (idrac_web.key), og den andre av disse er det signerte sertifikatet (idrac_web.cer). 
   
    

3. Last opp sertifikat i iDRAC

Med et par med privat nøkkel og sertifikat kan vi laste opp nøkkelen og sertifikatet til iDRAC. *Vær oppmerksom på at for følgende trinn kopierte jeg den private nøkkelen og sertifikatet til roten av C-stasjonen for enkel tilgang og for å redusere lengden på kommandoene.

1. Først må vi laste opp sertifikatet:
   1. Jeg utnyttet ekstern racadm-kommando med det interaktive alternativet.

racadm -r 10.14.177.107 -i sslkeyupload -t 1 -f C:\idrac_web.key

1. Når nøkkelen er lastet opp, må vi laste opp sertifikatet.  Kommandoen for dette er:

racadm -r 10.14.177.107 -i sslcertupload -t 1 -f c:\idrac_web.cer

1. Etter at webgrensesnittet har kommet tilbake, må vi kontrollere sertifikatet vårt.  Dette kan gjøres ved å få tilgang til webgrensesnittet i en hvilken som helst nettleser, og deretter undersøke sertifikatet.  Du skal se at sertifikatet gjenspeiler det konfigurerte vanlige navnet og utstedes av det vanlige navnet som er konfigurert i ca.