Dell PowerEdge：如何將外部建立的自訂憑證和私人金鑰匯入 iDRAC

背景

從 iDRAC6 開始，可以使用公開金鑰基礎結構建立憑證，並將憑證匯入 iDRAC。  它可讓您進一步控制憑證建立程序，並可將這些程序自動化。  最後，您可以利用此程序建立萬用字元憑證並匯入 iDRAC。  從安全性角度來看，使用萬用字元並不是最佳實務；但是，用於建立任何外部憑證的程序也可以運用於萬用字元憑證。

 

目錄

1. 使用 OpenSSL 建立憑證
2. 建立私密金鑰和憑證簽署
3. 在 iDRAC 中上傳憑證

若要匯入 SSL 憑證，您需要私密金鑰和該金鑰的簽署憑證。  憑證可由第三方提供或自動產生。  以下是在 Windows 環境中使用 OpenSSL 建立憑證程序的簡要範例：

1.OpenSSL 私密金鑰和憑證，以作為認證機構使用

安裝必須以認證機構的身分運作。  這可讓我們發出或簽署認證要求。  以下為執行步驟：

1. 建立 CA 私人金鑰：
   • 您需要提供私人金鑰的密碼。  稍後將需要使用，請記住這一點。

 bin>openssl.exe genrsa -aes256 -out keys/ca.key 2048

1. 使用建立的金鑰建立 CA 憑證：
   • 系統會提示您有關憑證的詳細資訊。  這些包含常見名稱和位置資料。  此處最重要的欄位是常見名稱。  這是成為 CA 的身分識別，並將反映在憑證中。  通常，這需要符合用來存取系統的名稱 (例如 DNS 主機名稱)。  此欄位在下方的螢幕擷取畫面中會反白顯示。

bin>openssl.exe req -config openssl.conf -new -x509 -days 3650 -key keys/ca.key -out certs/ca.cer

現在私人金鑰和憑證可供認證機構使用，我們可以為 iDRAC 建立私密金鑰和 CSR，然後利用我們的認證機構憑證來簽署此要求。

 

2.建立私密金鑰、憑證簽章要求和 iDRAC Web 服務的憑證

若為 iDRAC，我們需要有金鑰和簽署憑證才能匯入 Web 服務。  我們可以利用 OpenSSL 來達成這些目標。

1. 首先，我們需要建立一個私人金鑰和一個憑證簽署要求 (CSR)，然後我們可以利用 ca 憑證來簽署。  金鑰和 CSR 可在同一步驟中建立：
   1. 您必須填寫憑證詳細資料。  此憑證的常見名稱應與我們用來存取 iDRAC 的名稱相符。於下方反白顯示
   2. 另請注意，您將需要為建立的私密金鑰輸入密碼片語。於下方反白顯示

bin>openssl.exe req -new -config openssl.conf -newkey rsa:2048  -nodes -keyout idrac.key -out idrac.csr

2. 接下來，我們建立的憑證必須由認證機構簽署。

bin>openssl.exe ca -policy policy_anything -config openssl.conf -cert certs/ca.cer -in requests/idrac_web.csr -keyfile keys/ca.key -days 365 -out certs/idrac_web.cer

3. 我們現在即有必要的元件可上傳至 iDRAC。  其中的第一個是私密金鑰 (idrac_web.key)，第二個則是簽署憑證 (idrac_web.cer)。 
   
    

3.在 iDRAC 中上傳憑證

透過私密金鑰和憑證配對，我們可以將金鑰和憑證上傳至 iDRAC。*請注意，在下列步驟中，我將私密金鑰和憑證複製到 C 磁碟機的根，以便輕鬆存取並縮短命令長度。

1. 首先，我們需要上傳憑證：
   1. 我使用了遠端 racadm 命令與互動式選項。

racadm -r 10.14.177.107 -i sslkeyupload -t 1 -f C:\idrac_web.key

1. 在金鑰上傳後，我們需要上傳憑證。  這個的命令為：

racadm -r 10.14.177.107 -i sslcertupload -t 1 -f c:\idrac_web.cer

1. Web 介面出現後，我們需要驗證我們的憑證。  只要在任何瀏覽器中存取 Web 介面，然後檢查憑證，即可完成此作業。  您應該會看到憑證呈現出已設定的常見名稱，並且是由 CA 中設定的常見名稱發出：