HPE Integrated Lights-Out(iLO 5)のSSL証明書に自己署名する方法
問題:
ブラウザからiLOにアクセスすると、SSL証明書に関するエラーが返されます。
試したところ:
ILO WebインターフェイスからCSR(ilo.csr)を作成しました->セキュリティ-> SSL証明書
その方法でOpenSSLを介して自己署名を試みた後:
openssl genrsa -aes256 -out rootCA.key 4096
openssl req -x509 -new -nodes -key rootCA.key -days 1024 -out rootCA.pem
openssl x509 -req -in ilo.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out ilo.crt -days 500
最後に:
-セキュリティ-> SSL証明書-> Costumize証明書->証明書のインポートでilo.crtをインポートしました
-ilo.crtをクリックしてインストールし、信頼されたルート証明機関に挿入しました
結果が出なかった
SSL証明書ページの手順
信頼できる証明書をインポートすることにより、iLOのセキュリティ機能を強化できます。 iLOは、証明書署名要求(CSR)をPKCS#10形式で作成して、認証局(CA)に送信できます。 CSRはbase64でエンコードされています。 CAは要求を処理し、応答(X.509証明書)を返してiLOにインポートします。
証明書をインポートするには、4つのステップがあります。
Generate a CSR. Send the CSR to a CA and receive a certificate. Import the certificate into iLO. Restart iLO.
自己署名する場合は、偽のCAをルートCAストアにアドバタイズする必要があります。証明書パスを確認すると、これが問題であることがわかります。
概念を証明するための1つのハックは、ブラウザーで失敗した証明書を検査し、証明書をルートCAにインストールすることです。
自己署名を使用したくない場合は、会社のCAによって副署された実際の証明書を作成する必要があります。 iLOのLetsEncrypt証明書の生成を試していない。これらは一般にエンドポイントで何かが必要ですが、DNSSECまたは他のDNS kung fuでそれを行うにはいくつかの方法があることを知っています。