202002222049 为戴尔服务器idrac替换SSL证书

当前位置: 首页 >> 原创·技术 >> 202002222049 为戴尔服务器idrac替换SSL证书 >> 正文

3年前 (2020-02-26) 作者:iMoke 分类:原创·技术阅读次数:5386 评论(1)

本教程图文并茂的介绍了戴尔服务器idrac替换自签证书的完整过程。

一、参考资料

为 Dell iDRAC8 上传 SSL 证书

201912311309 戴尔服务器idrac SSL配置失败解决办法（作者我自己，哈哈哈，如果替换失败了，可以按照这个教程恢复默认）

二、下载资料

官方下载页面：（For RedHat 7）Dell EMC iDRAC Tools for Linux，v9.4.0

官方下载页面：（For RedHat 6）Dell EMC iDRAC Tools for Linux，v9.3.0

官方直接下载：（For RedHat 7）DellEMC-iDRACTools-Web-LX-9.4.0-3732_A00.tar.gz

官方直接下载：（For RedHat 6）DellEMC-iDRACTools-Web-LX-9.3.0-3379_A00.tar.gz

三、配置环境

我的测试环境是CentOS-7-x86_64-Minimal-1908

下载的是DellEMC-iDRACTools-Web-LX-9.4.0-3732_A00.tar.gz

四、开始使用（注：d.rc.it为内网虚拟域名）

这里我们主要使用racadm工具，这个工具在包里都可以找到。

官方包直接运行install.sh即可。

cd /root
wget http://d.rc.it/Drivers/Server/iDRACTools/DellEMC-iDRACTools-Web-LX-9.4.0-3732_A00.tar.gz
tar zxvf DellEMC-iDRACTools-Web-LX-9.4.0-3732_A00.tar.gz
cd iDRACTools/racadm/
bash ./install_racadm.sh

为了方便使用，我建议创建一个软链接（非必须）

ln -s /opt/dell/srvadmin/sbin/racadm /usr/sbin/racadm

这时候我们遇到了一个坑：libssl.so

解决办法，去 /usr/lib64 找找你的libssl库文件，然后向dell的lib64目录创建一个软链接即可

ln -s /usr/lib64/libssl.so.1.0.2k /opt/dell/srvadmin/lib64/libssl.so

这时候可以测试一下，输入完racadm后，系统会自动输出一些例子，按照例子操作即可。

racadm -r <idrac管理地址> -u <idrac用户名> -p <idrac密码> <命令> <选项>
racadm -r 192.168.0.120 -u racuser1 -p aygqt12a getsysinfo

重新测试

Security Alert：因为默认的idrac使用的是自签证书，所以弹出这个提示，并没有什么影响。

出现了下面内容，说明你的配置是全部正确的。下一步，我们可以开始替换证书了。

五、制作证书

这部分我就不详细说了。以后有机会我单独出证书的教程。

你是在网上申请可信证书，还是自己做CA签发证书，这个就看各位的本事了。

我使用的软件是XCA，一个功能强大的Windows 证书管理器，官方地址：http://hohnstaedt.de/xca

注：

1.自签证书记得添加到Windows受信任的颁发机构

2.各个浏览器的证书信任，请自行百度。

六、替换证书

请先把证书文件可私钥文件上传到服务器.

#第一行，上传key文件
#第二行，上传证书文件
#第三行，重启idrac

racadm -r 10.170.135.125 -u idrac_username -p idrac_password sslkeyupload -t 1 -f /root/10.170.135.125.key
racadm -r 10.170.135.125 -u idrac_username -p idrac_password sslcertupload -t 1 -f /root/10.170.135.125.crt
racadm -r 10.170.135.125 -u idrac_username -p idrac_password racreset

根据我的实际经验，crt文件上传后，idrac就自动重启了，所以第三行命令完全没有用。如果你的没有重启，那么请自行重启idrac。

2020年02月26日 16:40:26更新

对于iDrac7的服务器，输入第一行和第二行，iDrac就自动重启了。

对于iDrac8+的服务器，需要手动输入第三行，才会执行重启操作。

七、效果展示

IE浏览器

Google浏览器（版本 80.0.3987.116（正式版本）（64 位），2020年02月22日 21:48:08）

虽然提示不安全，但是已经不弹错误了。证书显示有效。我觉得google应该还校验一些东西，比如说crl，oscp之类的。目前还没研究明白。

2020年02月26日 16:38:07更新

上图测试的服务器是戴尔R720，iDrac7，因为iDrac7使用的是TLS1.0，因此google浏览器提示不安全。

下图为戴尔R730，iDrac8，使用TLS1.2通信，小锁头出来了

Firefox浏览器（版本73.0.1 (64 位)，2020年02月22日 21:51:01）

同样显示不安全，但是已经不报错了。

八、整理脚本

ip=10.0.0.1
idrac_username=root
idrac_password=idrac_password
racadm -r $ip -u $idrac_username -p $idrac_password sslkeyupload -t 1 -f /root/$ip.key
racadm -r $ip -u $idrac_username -p $idrac_password sslcertupload -t 1 -f /root/$ip.crt
racadm -r $ip -u $idrac_username -p $idrac_password racreset

除非注明，发表在“傲孤漠客”的文章『202002222049 为戴尔服务器idrac替换SSL证书』版权归iMoke所有。转载请注明出处为“本文转载于『傲孤漠客』原地址https://www.imoke.org/post/20200222169.html”