Hallo. Mijn naam is Ted. Ik ben Senior Engineer in de Systems Management-groep bij Dell Technologies. In deze video ga ik IRA-certificaten doornemen die specifiek voor de webserver zijn. Dit is de whitepaper die we hebben voor het beheer van IRA-certificaten. Het beschrijft drie belangrijke manieren om certificaten voor IRA's en CMC's te beheren.
Het eerste type is het zelfondertekenende certificaat, het standaardcertificaattype waarmee de I direct vanuit de fabriek wordt verzonden. Het voordeel hiervan is dat u geen certificeringsinstantie hoeft te onderhouden en dat de certificaten zelf automatisch door de IRA worden gegenereerd.
Een nadeel zou zijn dat het certificaat voor elke Ira moet worden toegevoegd aan het vertrouwde certificaatarchief op elk managementstation, omdat elke Ira zijn eigen certificaatautoriteit heeft die moet worden vertrouwd om het zelfwetenschapscertificaat te regenereren. U gebruikt het rack-itemcommando SSL reset CFG.
Er is een optie voor een aangepast ondertekend SSL-certificaat dat gebruikmaakt van een ondertekeningscertificaat dat is gemaakt door uw eigen certificaatautoriteit. U exporteert het certificaat in P FX-formaat met een privésleutel die u op elke IRA kunt gebruiken. Dit is geen algemeen gebruik. De voordelen van een op maat gemaakt tekencertificaat zouden zijn dat u slechts één certificaatautoriteit hoeft te vertrouwen voor al uw oogsporen.
Het is mogelijk dat het gebruik van uw interne certificeringsinstantie al vertrouwd is op al uw beheerstations. Certificaten worden ook automatisch gegenereerd door de IRA. Het nadeel hiervan is dat je je eigen certificaatautoriteit moet onderhouden. Voor deze workflow. U moet de rootcertificaatautoriteit exporteren met de privésleutel in P FX-formaat vanuit uw Ira.
Vervolgens gaat u naar de IRA-instellingenservices, webserver, aangepast SSL-ondertekeningscertificaat en importeert u de privésleutel voor uw certificaatautoriteit in de IRA, die vervolgens wordt gebruikt om alle certificaten te ondertekenen die de IRA genereert. De derde meest voorkomende optie is dat een certificeringsinstantie als ondertekend SSL-certificaat gebruik maakt van een ingebouwd ondertekeningsverzoek dat bij uw certificeringsinstantie wordt ingediend om het webservercertificaat te maken.
De voordelen hiervan zijn dat je gebruik kunt maken van elke commerciële certificeringsinstantie en dat je maar één certificeringsinstantie hoeft te hebben die voor al je oogsporen vertrouwd is. Als u een commerciële C.A. gebruikt, wordt dit waarschijnlijk al vertrouwd door uw beheerstations.
Het nadeel hiervan zou zijn dat je commerciële certificaten moet aanschaffen of een eigen certificaatautoriteit moet onderhouden. Laten we een paar van deze opties doornemen. Hier in de IRA kunnen we het certificaat bekijken dat we momenteel gebruiken en zien dat dit door de IRA aan de IRA is afgegeven.
We kunnen de certificaatdetails zien die we gebruiken in opname 2 56 met 2048 bits voor onze openbare sleutel om een aangepast tekencertificaat van de IRA te genereren.
ga je gang en log in en ga verder met de juiste instelling hier onder Ira-instellingenservices. We hebben de webserveroptie waar we hier in de Ira een ondertekeningsverzoek kunnen maken met een gemeenschappelijke naam, land, plaats, organisatie, e-mailadres van onze staat en elke alternatieve naam die we nodig hebben voor ons certificaat.
Het is belangrijk op te merken dat nieuwere browsers de alternatieve naam van het onderwerp nodig hebben, anders geven ze u nog steeds een certificaatwaarschuwing wanneer u toegang krijgt tot uw Ira. Zodra u deze informatie hebt ingevuld, genereert u de CS R. Het bestand wordt gedownload naar uw systeem, dat u vervolgens naar uw certificeringsinstantie kunt brengen en ondertekend om opnieuw te uploaden.
Op dit punt kunt u een aangepast certificaat uploaden met het P FX-bestand. Het is belangrijk op te merken dat dit alleen werkt op de Ira 4.40, 0.0, 0.0 of nieuwere firmware. Hier is de optie om een aangepast ondertekeningscertificaat te uploaden waarbij u de privésleutel van uw certificaatautoriteit extraheert en deze vervolgens aan uw Ira geeft om zijn eigen certificaten te ondertekenen, waardoor uw beheerstation alle certificaten kan vertrouwen die zijn uitgegeven door uw interne certificaatautoriteit.
Nu ga ik dit proces doornemen met behulp van rack atom voor de IRA 4.40 0.0 0.0. Firmware. U dient hier het sleutelpaar rechtstreeks van het certificaat te scheiden. Je kunt zien dat ik het P FX-bestand heb geüpload naar deze locatie waar ik open SSL gebruik om dit te splitsen.
We moeten eerst de optie Niet zoeken gebruiken om de sleutel uit dit bestand te extraheren. Ik geef hem het wachtwoord voor de P FX en dan ga ik een nieuwe wachtzin voor de pen zelf invoeren. Nu we de sleutel hebben geëxtraheerd, moeten we hem in een formaat zetten zodat de Ira hem kan accepteren. Ik zal ook die nieuwe penwachtwoordzin moeten opgeven die ik zojuist heb gebruikt.
Bij het uitpakken van het sleutelbestand uit de P FX. Met deze opdracht wordt het penbestand, het certificaat, rechtstreeks uit de PK CS uitgepakt. Daar moet ik ook het sleutelwachtwoord voor opgeven. Nu ik mijn Ira wildcard-sleutel en bestanden heb, kan ik die rechtstreeks naar de IRA uploaden met behulp van rack atom.
Ik heb hier een powershell-venster ingesteld, zodat ik geen gebruikersnamen of wachtwoorden of het IP-adres van de IRA hoef in te typen en dit gewoon als zodanig hoef te gebruiken. Eerst ga ik het certificaat uploaden. Nu moet ik het de privésleutel geven. Nu moeten we de IRA resetten zodat het nieuwe certificaat van kracht kan worden.
Dit duurt even zodra de IRA het nieuwe certificaat heeft geladen, we kunnen het vergelijken met het huidige certificaat dat we hebben geïnstalleerd, nu de IRA weer actief is, kunnen we het certificaat bekijken en zien dat dit is uitgegeven door mijn certificaatautoriteit als een wildcard-certificaat.
Aanvullende dingen die we kunnen doen, ten eerste ga ik het SSL-certificaat opnieuw wissen, aangezien we het SSL-certificaat resetten, is het belangrijk om de IRA opnieuw in te stellen zodat het nieuwe certificaat van kracht kan worden. Nu zijn we terug bij ons oorspronkelijke certificaat, want het zijspoor is specifiek versie 4.40 0.0 0.0.
Ik kan deze opdracht ook gebruiken om het certificaat rechtstreeks te uploaden zonder de sleutel en het certificaat te splitsen. Dit is type 16 en is ook vereist om het wachtwoord op te geven voor het extraheren van de sleutel uit de pen. Net als in andere gevallen moet ik de eyetrack opnieuw instellen om het nieuwe certificaat van kracht te laten worden.
Nu de IRA weer in de lucht is, kunnen we zien dat ons wildcard-certificaat met succes is geïnstalleerd. Als opmerking: ik zie hier de beveiligingswaarschuwing omdat ik geen FQDN gebruik. Het is punt punt lokaal. Als ik de FQDN van de IRA met die domeinnaam zou gebruiken, zou ik deze certificaatwaarschuwing niet meer zien.
Ik ga de I direct-standaardinstellingen resetten, zodat ik je kan laten zien hoe je een CS R kunt genereren met behulp van rangatoom. Nu we terug zijn bij het oorspronkelijke certificaat, laat ik u zien hoe we een aangepaste CS R kunnen maken. Dit zijn de opdrachten die ik ga uitvoeren om hiermee een aangepaste CS R te maken.
Ik ga deze velden bijwerken, een nieuwe CS-R genereren en deze vervolgens uploaden naar mijn certificeringsinstantie voor ondertekening. Ik heb dit kleine powershell-script gemaakt om de velden weer te geven, in te vullen en vervolgens opnieuw weer te geven voordat ik de ondertekeningsaanvraag genereer. Nu de waarden volledig zijn ingevuld.
Ik ga een CS R genereren om deze door mijn certificeringsinstantie te laten ondertekenen wanneer ik hiervoor mijn CS R gebruik bij mijn certificeringsinstantie, ik vraag een certificaat aan en dien een aanvraag in met de basis 64 gecodeerde informatie die is verstrekt. Ik moet een webservercertificaat kiezen en dan is het belangrijk om basis 64 gecodeerd te kiezen en de hele certificaatketen te downloaden.
Nu het nieuwe certificaat is geüpload, moeten we ook de IRA resetten om het nieuwe certificaat van kracht te laten worden. Nu het certificaat is geüpload, kunnen we zien dat het is ondertekend door mijn certificaatautoriteit en kunnen we de details bevestigen dat we nu weer een 40 96-bits RS er S A-sleutel gebruiken op de pagina IRA setting services onder onze webserver.
Ik ga het aangepaste SSL TLS-ondertekeningscertificaat kiezen. Nu mijn aangepaste ondertekeningscertificaat met succes is geïnstalleerd, kan ik de IRA nu resetten om het nieuwe certificaat van kracht te laten worden, waarbij de IRA een zelfondertekeningscertificaat opnieuw zal genereren met behulp van de privésleutels die ik er zojuist naar heb geüpload van mijn certificaatautoriteit.
Nu onze IRA weer in de lucht is. We kunnen zien dat het zelf is gegenereerd en is uitgegeven door onze certificeringsinstantie, omdat het nu gebruikmaakt van het certificaatondertekeningscertificaat dat we hebben verstrekt. Als we het aangepaste ondertekeningscertificaat niet langer willen gebruiken, kunnen we het ondertekeningscertificaat hier uit deze interface verwijderen.
Het workflowproces van dit ene certificaat is verwijderd, het zal automatisch een nieuw zelfondertekend certificaat genereren en me vervolgens vragen of ik de IRA wil resetten om dat nieuwe certificaat van kracht te laten worden. Nu onze IRA weer in de lucht is, kunnen we ons certificaat controleren en zien dat het weer is, terugkeren naar het zelf uitgegeven certificaat.
We kunnen dit ook verifiëren met een commando om het SSL-certificaat te bekijken dat mijn video over IRA-certificaten afsluit. Heel erg bedankt voor het kijken. Ik hoop dat je een geweldige dag hebt.
