Począwszy od iDRAC6, można było utworzyć certyfikat wykorzystujący infrastrukturę PKI i zaimportować certyfikaty do kontrolerów iDRAC. Pozwala to mieć większą kontrolę nad procesem tworzenia certyfikatu i zautomatyzować te procesy. Wreszcie, ten proces może być wykorzystany do utworzenia i zaimportowania certyfikatu symboli wieloznacznych do iDRAC. Z punktu widzenia bezpieczeństwa używanie symboli wieloznacznych nie jest najlepszą praktyką, jednak proces używany do tworzenia wszystkich certyfikatów zewnętrznych można również wykorzystać do certyfikatu symboli wieloznacznych.
W celu zaimportowania certyfikatu SSL potrzebny będzie klucz prywatny i podpisany certyfikat dla tego klucza. Certyfikaty mogą być dostarczane przez strony trzecie lub generowane automatycznie. Oto podstawowy przykład procesu tworzenia certyfikatu wykorzystującego OpenSSL w środowisku Windows:
Instalacja musi działać jako instytucja certyfikująca. Pozwoli to nam na wydanie lub podpisanie wniosku o certyfikat. Oto te czynności:
bin>openssl.exe genrsa -aes256 -out keys/ca.key 2048
bin>openssl.exe req -config openssl.conf -new -x509 -days 3650 -key keys/ca.key -out certs/ca.cer
Teraz, gdy klucz prywatny i certyfikat są dostępne do użycia dla instytucji certyfikującej, możemy utworzyć klucz prywatny i CSR dla iDRAC, a następnie podpisać ten wniosek przy użyciu certyfikatu instytucji certyfikującej.
W przypadku kontrolera iDRAC musimy mieć klucz i podpisany certyfikat, aby zaimportować go do usług internetowych. Możemy wykorzystać OpenSSL do realizacji tych celów.
bin>openssl.exe req -new -config openssl.conf -newkey rsa:2048 -nodes -keyout idrac.key -out idrac.csr
bin>openssl.exe ca -policy policy_anything -config openssl.conf -cert certs/ca.cer -in requests/idrac_web.csr -keyfile keys/ca.key -days 365 -out certs/idrac_web.cer
Za pomocą pary klucza prywatnego i certyfikatu możemy przesłać klucz i certyfikat do iDRAC. * Należy pamiętać, że dla poniższych kroków skopiowałem klucz prywatny i certyfikat do katalogu głównego dysku C w celu ułatwienia dostępu i zmniejszenia długości poleceń.
racadm -r 10.14.177.107 -i sslkeyupload -t 1 -f C:\idrac_web.key
racadm -r 10.14.177.107 -i sslcertupload -t 1 -f c:\idrac_web.cer