Dell PowerEdge : วิธีการนําเข้าใบรับรองแบบกําหนดเองและคีย์ส่วนตัวที่สร้างขึ้นจากภายนอกไปยัง iDRAC

พื้นหลัง

เริ่มต้นใน iDRAC6 เป็นไปได้ที่จะสร้างใบรับรองที่ใช้ประโยชน์จาก PKI และนําเข้าใบรับรองไปยัง iDRACs  ช่วยให้สามารถควบคุมกระบวนการสร้างใบรับรองได้มากขึ้นและช่วยให้กระบวนการเหล่านี้เป็นไปโดยอัตโนมัติ  สุดท้ายกระบวนการนี้สามารถใช้ประโยชน์เพื่อสร้างและนําเข้าใบรับรองตัวแทนลงใน iDRAC  จากจุดยืนด้านความปลอดภัยการใช้สัญลักษณ์ตัวแทนไม่ใช่แนวทางปฏิบัติที่ดีที่สุด อย่างไรก็ตาม กระบวนการที่ใช้ในการสร้างใบรับรองภายนอกใดๆ ยังสามารถถูกใช้ประโยชน์จากใบรับรองสัญลักษณ์ตัวแทนได้

 

สารบัญ

1. การสร้างใบรับรองโดยใช้ OpenSSL
2. การสร้างคีย์ส่วนตัวและการเซ็นชื่อใบรับรอง
3. อัปโหลดใบรับรองใน iDRAC

เมื่อต้องการนําเข้าใบรับรอง SSL คุณจะต้องมีคีย์ส่วนตัว และใบรับรองที่เซ็นชื่อสําหรับคีย์นั้น  ใบรับรองสามารถเป็นใบรับรองจากภายนอกหรือสร้างขึ้นโดยอัตโนมัติ  นี่คือตัวอย่างพื้นฐานของกระบวนการสร้างใบรับรองโดยใช้ OpenSSL ในสภาพแวดล้อมของหน้าต่าง:

1. คีย์ส่วนตัว OpenSSL และใบรับรองสําหรับใช้เป็นผู้ให้บริการออกใบรับรอง

การติดตั้ง Th1e จะต้องทําหน้าที่เป็นผู้ให้บริการออกใบรับรอง  สิ่งนี้จะช่วยให้เราสามารถออกหรือลงนามในคําขอใบรับรอง  นี่คือขั้นตอนเหล่านั้น:

1. การสร้างคีย์ส่วนตัว CA:
   • คุณจะต้องใส่รหัสผ่านสําหรับคีย์ส่วนตัว  สิ่งนี้จะต้องใช้ในภายหลังดังนั้นจําสิ่งนี้ไว้

 bin>เปิด.exe genrsa -aes256 -out keys/ca.key 2048

1. การสร้างใบรับรอง CA ที่ใช้ประโยชน์จากคีย์ที่สร้างขึ้น:
   • คุณจะได้รับพร้อมท์สําหรับรายละเอียดเกี่ยวกับใบรับรอง  ซึ่งรวมถึงชื่อทั่วไปและข้อมูลตําแหน่งที่ตั้ง  ฟิลด์ที่สําคัญที่สุดที่นี่คือชื่อสามัญ  สิ่งนี้จะไปยังตัวตนของ CA และจะปรากฏในใบรับรอง  โดยปกติแล้ว สิ่งนี้จะต้องตรงกับชื่อที่จะเข้าถึงระบบ (ตัวอย่างเช่น ชื่อโฮสต์ DNS)  ฟิลด์นี้ถูกเน้นในภาพหน้าจอด้านล่าง

bin>เปิด.exe req -config openssl.conf -new -x509 -days 3650 -คีย์คีย์/ca.key -ออกใบรับรอง/ca.cer

ตอนนี้มีคีย์ส่วนตัวและใบรับรองสําหรับผู้ให้บริการออกใบรับรองแล้วเราสามารถสร้างคีย์ส่วนตัวและ CSR สําหรับ iDRAC แล้วลงนามในคําขอนี้โดยใช้ประโยชน์จากใบรับรองของผู้ให้บริการออกใบรับรองของเรา

 

2. การสร้างคีย์ส่วนตัว คําขอเซ็นชื่อใบรับรอง และใบรับรองสําหรับบริการเว็บ iDRAC

สําหรับ iDRAC เราจะต้องมีคีย์และใบรับรองที่ลงนามเพื่อนําเข้าไปยังบริการเว็บ  เราสามารถใช้ประโยชน์จาก OpenSSL เพื่อให้บรรลุเป้าหมายเหล่านี้

1. ขั้นแรกเราจะต้องสร้างคีย์ส่วนตัวและคําขอลงนามใบรับรอง (CSR) ที่เราสามารถลงนามในการใช้ประโยชน์จากใบรับรอง CA ได้  สามารถสร้างคีย์และ CSR ได้ในขั้นตอนเดียวกัน:
   1. คุณจะต้องกรอกรายละเอียดใบรับรอง  ชื่อทั่วไปสําหรับใบรับรองนี้ควรตรงกับชื่อที่เราจะเข้าถึง idrac เน้นด้านล่าง
   2. นอกจากนี้ คุณจะต้องใส่วลีรหัสผ่านสําหรับคีย์ส่วนตัวที่สร้างขึ้น เน้นด้านล่าง

bin>เปิด.exe req -new -config openssl.conf -newkey rsa:2048 -nodes -keyout idrac.key -out idrac.csr

2. ต่อไปใบรับรองที่เราสร้างขึ้นจะต้องลงนามโดยผู้ให้บริการออกใบรับรอง

bin>เปิด.exe ca -policy policy_anything -config openssl.conf -cert certs/ca.cer -in requests/idrac_web.csr -keyfile keys/ca.key -วัน 365 -ออกใบรับรอง/idrac_web.cer

3. ตอนนี้เรามีส่วนประกอบที่จําเป็นในการอัปโหลดไปยัง idrac  คีย์แรกคือคีย์ส่วนตัว (idrac_web.key) และคีย์ที่สองคือใบรับรองที่เซ็นชื่อ (idrac_web.cer) 
   
    

3. อัปโหลดใบรับรองใน iDRAC

ด้วยคีย์ส่วนตัวและคู่ใบรับรองเราสามารถอัปโหลดคีย์และใบรับรองไปยัง iDRAC *โปรดทราบว่าสําหรับขั้นตอนต่อไปนี้ฉันคัดลอกคีย์ส่วนตัวและใบรับรองไปยังรากของไดรฟ์ C เพื่อความสะดวกในการเข้าถึงและลดความยาวของคําสั่ง

1. ก่อนอื่นเราต้องอัปโหลดใบรับรอง:
   1. ฉันใช้ประโยชน์จากคําสั่ง racadm ระยะไกลด้วยตัวเลือกแบบโต้ตอบ

racadm -r 10.14.177.107 -i sslkeyupload -t 1 -f C:\idrac_web.key

1. เมื่ออัปโหลดคีย์แล้วเราจําเป็นต้องอัปโหลดใบรับรอง  คําสั่งสําหรับสิ่งนี้คือ:

racadm -r 10.14.177.107 -i sslcertupload -t 1 -f c:\idrac_web.cer

1. หลังจากเว็บอินเตอร์เฟสกลับมาแล้วเราต้องตรวจสอบใบรับรองของเรา  สิ่งนี้สามารถทําได้โดยการเข้าถึงเว็บอินเตอร์เฟสในเบราว์เซอร์ใด ๆ แล้วตรวจสอบใบรับรอง  คุณควรเห็นว่าใบรับรองแสดงชื่อทั่วไปที่กําหนดค่าไว้ และออกโดยชื่อทั่วไปที่กําหนดค่าไว้ใน CA ของคุณ: