Dell PowerEdge: So importieren Sie ein extern erstelltes benutzerdefiniertes Zertifikat und einen privaten Schlüssel in den iDRAC

Hintergrund

Seit iDRAC6 ist es möglich, ein Zertifikat unter Verwendung der PKI zu erstellen und Zertifikate in iDRACs zu importieren.  Dies ermöglicht mehr Kontrolle über den Prozess der Zertifikaterstellung und erlaubt die Automatisierung dieser Prozesse.  Schließlich kann dieser Prozess auch genutzt werden, um ein Platzhalterzertifikat zu erstellen und in den iDRAC zu importieren.  Im Hinblick auf die Sicherheit gehört die Verwendung von Platzhaltern nicht zu den Best Practices. Jedoch kann der Prozess, der zum Erstellen eines externen Zertifikats verwendet wird, auch für die Erstellung eines Platzhalterzertifikats genutzt werden.

 

Inhaltsverzeichnis

1. Zertifikaterstellung mit OpenSSL
2. Erstellen von privaten Schlüsseln und Signieren von Zertifikaten
3. Hochladen des Zertifikats in iDRAC

Um das SSL-Zertifikat zu importieren, werden ein privater Schlüssel und ein signiertes Zertifikat für diesen Schlüssel benötigt.  Zertifikate können von Drittanbietern bereitgestellt oder automatisch erzeugt werden.  Nachfolgend finden Sie ein rudimentäres Beispiel für den Zertifikaterstellungsprozess unter Verwendung von OpenSSL in einer Windows-Umgebung:

1. Privater OpenSSL-Schlüssel und -Zertifikat zur Verwendung als Zertifizierungsstelle

Die Installation muss als Zertifizierungsstelle (Certificate Authority, CA) fungieren.  Auf diese Weise kann eine Zertifikatanforderung ausgestellt oder signiert werden.  Die erforderlichen Schritte sind:

1. Erstellen des privaten Schlüssels der Zertifizierungsstelle:
   • Sie müssen ein Kennwort für den privaten Schlüssel festlegen.  Dieses wird später benötigt, daher sollten Sie es sich merken.

 bin>openssl.exe genrsa -aes256 -out keys/ca.key 2048

1. Erstellen des CA-Zertifikats mithilfe des erstellten Schlüssels:
   • Sie werden aufgefordert, Details zum Zertifikat anzugeben.  Dazu gehören der „Common Name“ und die Standortdaten.  Das wichtigste Feld ist hier der „Common Name“.  Er gehört zur Identität der Zertifizierungsstelle und wird im Zertifikat widergespiegelt.  In der Regel muss dies mit dem Namen übereinstimmen, mit dem auf das System zugegriffen wird (z. B. DNS-Hostname).  Dieses Feld ist im Screenshot unten hervorgehoben.

bin>openssl.exe req -config openssl.conf -new -x509 -days 3650 -key keys/ca.key -out certs/ca.cer

Nachdem nun ein privater Schlüssel und ein Zertifikat für die Verwendung als Zertifizierungsstelle verfügbar sind, kann ein privater Schlüssel sowie ein CSR für den iDRAC erstellt und dieser CSR dann mithilfe des CA-Zertifikats unterzeichnet werden.

 

2. Erstellen des privaten Schlüssels, der Zertifikatsignieranforderung und des Zertifikats für die iDRAC-Webdienste

Für den iDRAC müssen ein Schlüssel und ein signiertes Zertifikat vorliegen, die in die Webdienste importiert werden.  Für diese Ziele kann OpenSSL genutzt werden.

1. Zunächst müssen ein privater Schlüssel und eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) erstellt werden, die dann mithilfe des CA-Zertifikats signiert wird.  Schlüssel und CSR können im selben Schritt erstellt werden:
   1. Sie müssen die Zertifikatdetails ausfüllen.  Der „Common Name“ für dieses Zertifikat sollte mit dem Namen übereinstimmen, mit dem auf den iDRAC zugegriffen wird. Unten hervorgehoben
   2. Beachten Sie auch, dass Sie eine Passphrase für den zu erstellenden privaten Schlüssel angeben müssen. Unten hervorgehoben

bin>openssl.exe req -new -config openssl.conf -newkey rsa:2048  -nodes -keyout idrac.key -out idrac.csr

2. Als Nächstes muss das erstellte Zertifikat von der Zertifizierungsstelle signiert werden.

bin>openssl.exe ca -policy policy_anything -config openssl.conf -cert certs/ca.cer -in requests/idrac_web.csr -keyfile keys/ca.key -days 365 -out certs/idrac_web.cer

3. Nun sind die für das Hochladen in den iDRAC erforderlichen Komponenten vorhanden.  Die erste ist der private Schlüssel (idrac_web.key) und die zweite ist das signierte Zertifikat (idrac_web.cer). 
   
    

3. Hochladen des Zertifikats in iDRAC

Sobald beides vorliegt, können der Schlüssel und das Zertifikat in den iDRAC hochgeladen werden. *Bitte beachten Sie, dass für die folgenden Schritte der private Schlüssel und das Zertifikat in das Stammverzeichnis des C-Laufwerks kopiert wurden, um den Zugriff zu erleichtern und die Länge der Befehle zu verringern.

1. Zunächst muss der Schlüssel hochgeladen werden:
   1. Dafür kann der Remote-RACADM-Befehl mit der interaktiven Option genutzt werden.

racadm -r 10.14.177.107 -i sslkeyupload -t 1 -f C:\idrac_web.key

1. Nachdem der Schlüssel hochgeladen ist, muss nun das Zertifikat hochgeladen werden.  Der Befehl hierfür lautet:

racadm -r 10.14.177.107 -i sslcertupload -t 1 -f c:\idrac_web.cer

1. Nachdem die Weboberfläche wieder angezeigt wird, sollte das Zertifikat überprüft werden.  Das Zertifikat kann über die Weboberfläche eines beliebigen Browsers geprüft werden.  Das Zertifikat sollte den konfigurierten „Common Name“ widerspiegeln und unter dem in der Zertifizierungsstelle konfigurierten „Common Name“ ausgegeben sein: