Назад | Перейти на главную страницу

Как самостоятельно подписать сертификат SSL для HPE Integrated Lights-Out (iLO 5)

ПРОБЛЕМА:

Когда я получаю доступ к ilo через браузер, он возвращает мне ошибку с сертификатом SSL.

Что я пробовал:

Я создал CSR (ilo.csr) из веб-интерфейса iLO -> Безопасность -> Сертификат SSL

После того, как я попытался самостоятельно подписать его через OpenSSL таким образом:

openssl genrsa -aes256 -out rootCA.key 4096
openssl req -x509 -new -nodes -key rootCA.key -days 1024 -out rootCA.pem
openssl x509 -req -in ilo.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out ilo.crt -days 500

В КОНЦЕ:

-Я импортировал ilo.crt в Безопасность -> Сертификат SSL -> Сертификат Costumize -> Импорт сертификата

-Я установил ilo.crt, щелкнув по нему и вставив в доверенные корневые центры сертификации

Я не получил никаких результатов

ИНСТРУКЦИИ со страницы сертификата SSL

Функции безопасности iLO можно улучшить, импортировав доверенный сертификат. iLO может создать запрос на подпись сертификата (CSR) в формате PKCS # 10 для отправки в центр сертификации (CA). CSR закодирован в формате base64. Центр сертификации обрабатывает запрос и возвращает ответ (сертификат X.509) для импорта в iLO.

Импорт сертификата выполняется в четыре этапа:

Generate a CSR.
Send the CSR to a CA and receive a certificate.
Import the certificate into iLO.
Restart iLO.

Если вы подписываете самостоятельно, вам необходимо добавить фиктивный ЦС в хранилище корневого ЦС. Если вы проверите свой путь к сертификату, вы увидите, что это ваша проблема.

Один из способов доказать эту концепцию - проверить отказавший сертификат в вашем браузере, а затем просто установить его в свой корневой центр сертификации.

Если вы не хотите использовать самоподписание, вам придется сделать настоящий сертификат, подписанный CA вашей компании. Не играл с созданием сертификата LetsEncrypt для iLO. Обычно для этого требуется что-то в конечной точке, хотя я знаю, что есть несколько способов сделать это с помощью DNSSEC или другого кунг-фу DNS.