Dell PowerEdge: Een extern gemaakt aangepast certificaat en persoonlijke sleutel importeren in de iDRAC

Achtergrond

Vanaf de iDRAC6 is het mogelijk om een certificaat te maken met behulp van de PKI en certificaten te importeren in de iDRAC's.  Hierdoor krijgt u meer controle over het proces voor het maken van certificaten en kunt u deze processen automatiseren.  Ten slotte kan dit proces worden gebruikt om een jokertekencertificaat te maken en te importeren in de iDRAC.  Vanaf een beveiligingspunt is het gebruik van jokertekens geen best practices; Het proces dat wordt gebruikt voor het maken van een extern certificaat kan echter ook worden gebruikt voor een wildcard-certificaat.

 

Inhoudsopgave

1. Certificaat maken met OpenSSL
2. Persoonlijke sleutel maken en certificaat ondertekenen
3. Certificaat uploaden in iDRAC

Om het SSL-certificaat te importeren, hebt u een persoonlijke sleutel en een ondertekend certificaat voor die sleutel nodig.  Certificaten kunnen door derden worden verstrekt of automatisch worden gegenereerd.  Hier is een voorbeeld van het maken van certificaten met Behulp van OpenSSL in een Windows-omgeving:

1. OpenSSL Private key and certificate for use as Certificate Authority

De installatie van de E1e moet functioneren als een certificeringsinstantie.  Hierdoor kunnen we een certificaataanvraag uitgeven of ondertekenen.  Dit zijn de volgende stappen:

1. De ca-persoonlijke sleutel maken:
   • U moet een wachtwoord opgeven voor de persoonlijke sleutel.  Dit is later nodig, dus onthoud dit.

 bin>openssl.exe genrsa -aes256 -out toetsen/ca.key 2048

1. Het CA-certificaat maken met behulp van de gemaakte sleutel:
   • U wordt om meer informatie over het certificaat gevraagd.  Deze omvatten de algemene naam en de locatiedata.  Het belangrijkste veld hier is de algemene naam.  Dit gaat naar de identiteit van de CA en wordt weergegeven in het certificaat.  Dit moet meestal overeenkomen met de naam waarmee toegang wordt verkregen tot het systeem (bijvoorbeeld DNS-hostnaam).  Dit veld is gemarkeerd in de onderstaande schermafbeelding.

bin>openssl.exe req -config openssl.conf -new -x509 -days 3650 -key keys/ca.key -out certs/ca.cer

Nu er een persoonlijke sleutel en een certificaat beschikbaar zijn voor gebruik voor een certificaatautoriteit, kunnen we een persoonlijke sleutel en CSR maken voor de iDRAC en dit verzoek ondertekenen met behulp van ons certificaat van de certificeringsinstantie.

 

2. De persoonlijke sleutel, het certificaatondertekeningsverzoek en het certificaat voor de iDRAC-webservices maken

Voor de iDRAC hebben we een sleutel en een ondertekend certificaat nodig om te importeren in de webservices.  We kunnen OpenSSL gebruiken om deze doelen te bereiken.

1. Eerst moeten we een persoonlijke sleutel en een CSR (Certificate Signing Request) maken die we vervolgens kunnen ondertekenen met behulp van het CA-certificaat.  De sleutel en CSR kunnen in dezelfde stap worden gemaakt:
   1. U moet de certificaatgegevens invullen.  De algemene naam voor dit certificaat moet overeenkomen met de naam waarmee we toegang krijgen tot de idrac. Hieronder gemarkeerd
   2. Bovendien moet u een wachtwoordzin opnemen voor de persoonlijke sleutel die wordt gemaakt. Hieronder gemarkeerd

bin>openssl.exe req -new -config openssl.conf -newkey rsa:2048 -nodes -keyout idrac.key -out idrac.csr

2. Vervolgens moet het certificaat dat we hebben gemaakt worden ondertekend door de certificeringsinstantie.

bin>openssl.exe ca -policy policy_anything -config openssl.conf -certs/ca.cer -in requests/idrac_web.csr -keyfile keys/ca.key -days 365 -out certs/idrac_web.cer

3. We hebben nu de benodigde onderdelen om te uploaden naar de idrac.  De eerste is de persoonlijke sleutel (idrac_web.key) en de tweede is het ondertekende certificaat (idrac_web.cer). 
   
    

3. Certificaat uploaden in iDRAC

Met een persoonlijke sleutel en certificaatpaar kunnen we de sleutel en het certificaat uploaden naar de iDRAC. *Houd er rekening mee dat ik voor de volgende stappen de persoonlijke sleutel en het certificaat naar de hoofdmap van de C-schijf heb gekopieerd voor eenvoudige toegang en om de lengte van de opdrachten te verlagen.

1. Eerst moeten we het certificaat uploaden:
   1. Ik heb de externe racadm-opdracht gebruikt met de interactieve optie.

racadm -r 10.14.177.107 -i sslkeyupload -t 1 -f C:\idrac_web.key

1. Als de sleutel is geüpload, moeten we het certificaat uploaden.  De opdracht hiervoor is:

racadm -r 10.14.177.107 -i sslcertupload -t 1 -f c:\idrac_web.cer

1. Nadat de webinterface is teruggekomen, moeten we ons certificaat verifiëren.  Dit kan worden gedaan door toegang te krijgen tot de webinterface in elke browser en vervolgens het certificaat te inspecteren.  U zou moeten zien dat het certificaat de geconfigureerde algemene naam weergeeft en wordt uitgegeven door de algemene naam die is geconfigureerd in uw CA: