web-dev-qa-db-ja.com

HPE Integrated Lights-Out(iLO 5)のSSL証明書に自己署名する方法

問題:

ブラウザからiLOにアクセスすると、SSL証明書に関するエラーが返されます。

試したところ

ILO WebインターフェイスからCSR(ilo.csr)を作成しました->セキュリティ-> SSL証明書

その方法でOpenSSLを介して自己署名を試みた後:

openssl genrsa -aes256 -out rootCA.key 4096
openssl req -x509 -new -nodes -key rootCA.key -days 1024 -out rootCA.pem
openssl x509 -req -in ilo.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out ilo.crt -days 500

最後に:

-セキュリティ-> SSL証明書-> Costumize証明書->証明書のインポートでilo.crtをインポートしました

-ilo.crtをクリックしてインストールし、信頼されたルート証明機関に挿入しました

結果が出なかった

SSL証明書ページの手順

信頼できる証明書をインポートすることにより、iLOのセキュリティ機能を強化できます。 iLOは、証明書署名要求(CSR)をPKCS#10形式で作成して、認証局(CA)に送信できます。 CSRはbase64でエンコードされています。 CAは要求を処理し、応答(X.509証明書)を返してiLOにインポートします。

証明書をインポートするには、4つのステップがあります。

Generate a CSR.
Send the CSR to a CA and receive a certificate.
Import the certificate into iLO.
Restart iLO.
1
Squalo

自己署名する場合は、偽のCAをルートCAストアにアドバタイズする必要があります。証明書パスを確認すると、これが問題であることがわかります。

概念を証明するための1つのハックは、ブラウザーで失敗した証明書を検査し、証明書をルートCAにインストールすることです。

自己署名を使用したくない場合は、会社のCAによって副署された実際の証明書を作成する必要があります。 iLOのLetsEncrypt証明書の生成を試していない。これらは一般にエンドポイントで何かが必要ですが、DNSSECまたは他のDNS kung fuでそれを行うにはいくつかの方法があることを知っています。

1
Dan