Dell PowerEdge：如何将外部创建的自定义证书和私钥导入 iDRAC

背景

从 iDRAC6 开始，可以使用 PKI 创建证书并将证书导入到 iDRAC 中。  这使您对证书创建过程拥有更多控制权，并可以自动执行这些过程。  最后，可以利用此过程创建通配符证书并将其导入 iDRAC。  从安全性角度来看，使用通配符不是最佳做法；但是，用于创建任何外部证书的过程也可以用于通配符证书。

 

目录

1. 使用 OpenSSL 创建证书
2. 私钥创建和证书签名
3. 在 iDRAC 中上传证书

要导入 SSL 证书，您需要一个私钥和该私钥的签名证书。  证书可以是第三方提供或自动生成的。  以下是在 Windows 环境中使用 OpenSSL 创建证书过程的简要示例：

1.用作证书颁发机构的 OpenSSL 私钥和证书

安装将需要作为证书颁发机构运行。  这将允许我们发出或签署证书请求。  这些步骤如下：

1. 创建 CA 私钥：
   • 您需要为私钥提供密码。  稍后您将需要用到该密码，因此请记住它。

 bin>openssl.exe genrsa -aes256 -out keys/ca.key 2048

1. 利用创建的密钥创建 CA 证书：
   • 系统将提示您提供有关证书的详细信息。  其中包括公用名和位置数据。  此处最重要的字段是公用名。  这将是 CA 的身份，并将反映在证书中。  通常，这需要匹配将用于访问系统的名称（例如 DNS 主机名）。  此字段在下面的屏幕截图中突出显示。

bin>openssl.exe req -config openssl.conf -new -x509 -days 3650 -key keys/ca.key -out certs/ca.cer

私钥和证书可用于证书颁发机构后，我们可以为 iDRAC 创建私钥和 CSR，然后利用我们的证书颁发机构证书对此请求签名。

 

2.为 iDRAC Web 服务创建私钥、证书签名请求和证书

对于 iDRAC，我们需要有密钥和签名证书才能导入到 Web 服务。  我们可以利用 OpenSSL 来实现这些目标。

1. 首先，我们需要创建私钥和证书签名请求 (CSR)，稍后我们可以利用 CA 证书对请求签名。  密钥和 CSR 可在同一步骤中创建：
   1. 您必须填写证书详细信息。  此证书的公用名应与我们将用来访问 idrac 的名称匹配。在下面突出显示
   2. 另请注意，您需要包含要创建的私钥的密码。在下面突出显示

bin>openssl.exe req -new -config openssl.conf -newkey rsa:2048  -nodes -keyout idrac.key -out idrac.csr

2. 接下来，我们创建的证书需要由证书颁发机构签名。

bin>openssl.exe ca -policy policy_anything -config openssl.conf -cert certs/ca.cer -in requests/idrac_web.csr -keyfile keys/ca.key -days 365 -out certs/idrac_web.cer

3. 现在，我们拥有了要上传到 idrac 的必要组件。  第一个组件是私钥 (idrac_web.key)，第二个组件是签名证书 (idrac_web.cer)。 
   
    

3.在 iDRAC 中上传证书

有了私钥和证书对，我们可以将密钥和证书上传到 iDRAC。*请注意，对于以下步骤，我将私钥和证书复制到 C 驱动器的根目录，以便于访问并缩短命令的长度。

1. 首先，我们需要上传证书：
   1. 我利用远程 racadm 命令和交互式选项。

racadm -r 10.14.177.107 -i sslkeyupload -t 1 -f C:\idrac_web.key

1. 上传密钥后，我们需要上传证书。  此操作的命令是：

racadm -r 10.14.177.107 -i sslcertupload -t 1 -f c:\idrac_web.cer

1. Web 界面恢复后，我们需要验证我们的证书。  可以在任何浏览器中访问 Web 界面，然后检查证书。  您应该会看到证书反映了已配置的公用名，并且使用在您的 CA 中配置的公用名签发：