202002222049 为戴尔服务器idrac替换SSL证书
4年前 (2020-02-26) 作者:iMoke 分类:原创·技术 阅读次数:6086 评论(1)本教程图文并茂的介绍了戴尔服务器idrac替换自签证书的完整过程。
一、参考资料
201912311309 戴尔服务器idrac SSL配置失败解决办法(作者我自己,哈哈哈,如果替换失败了,可以按照这个教程恢复默认)
二、下载资料
官方下载页面:(For RedHat 7)Dell EMC iDRAC Tools for Linux,v9.4.0
官方下载页面:(For RedHat 6)Dell EMC iDRAC Tools for Linux,v9.3.0
官方直接下载:(For RedHat 7)DellEMC-iDRACTools-Web-LX-9.4.0-3732_A00.tar.gz
官方直接下载:(For RedHat 6)DellEMC-iDRACTools-Web-LX-9.3.0-3379_A00.tar.gz
三、配置环境
我的测试环境是CentOS-7-x86_64-Minimal-1908
下载的是DellEMC-iDRACTools-Web-LX-9.4.0-3732_A00.tar.gz
四、开始使用(注:d.rc.it为内网虚拟域名)
这里我们主要使用racadm工具,这个工具在包里都可以找到。
官方包直接运行install.sh即可。
cd /root wget http://d.rc.it/Drivers/Server/iDRACTools/DellEMC-iDRACTools-Web-LX-9.4.0-3732_A00.tar.gz tar zxvf DellEMC-iDRACTools-Web-LX-9.4.0-3732_A00.tar.gz cd iDRACTools/racadm/ bash ./install_racadm.sh
为了方便使用,我建议创建一个软链接(非必须)
ln -s /opt/dell/srvadmin/sbin/racadm /usr/sbin/racadm
这时候我们遇到了一个坑:libssl.so
解决办法,去 /usr/lib64 找找你的libssl库文件,然后向dell的lib64目录创建一个软链接即可
ln -s /usr/lib64/libssl.so.1.0.2k /opt/dell/srvadmin/lib64/libssl.so
这时候可以测试一下,输入完racadm后,系统会自动输出一些例子,按照例子操作即可。
racadm -r <idrac管理地址> -u <idrac用户名> -p <idrac密码> <命令> <选项> racadm -r 192.168.0.120 -u racuser1 -p aygqt12a getsysinfo
重新测试
Security Alert:因为默认的idrac使用的是自签证书,所以弹出这个提示,并没有什么影响。
出现了下面内容,说明你的配置是全部正确的。下一步,我们可以开始替换证书了。
五、制作证书
这部分我就不详细说了。以后有机会我单独出证书的教程。
你是在网上申请可信证书,还是自己做CA签发证书,这个就看各位的本事了。
我使用的软件是XCA,一个功能强大的Windows 证书管理器,官方地址:http://hohnstaedt.de/xca
注:
1.自签证书记得添加到Windows受信任的颁发机构
2.各个浏览器的证书信任,请自行百度。
六、替换证书
请先把证书文件可私钥文件上传到服务器.
#第一行,上传key文件 #第二行,上传证书文件 #第三行,重启idrac racadm -r 10.170.135.125 -u idrac_username -p idrac_password sslkeyupload -t 1 -f /root/10.170.135.125.key racadm -r 10.170.135.125 -u idrac_username -p idrac_password sslcertupload -t 1 -f /root/10.170.135.125.crt racadm -r 10.170.135.125 -u idrac_username -p idrac_password racreset
根据我的实际经验,crt文件上传后,idrac就自动重启了,所以第三行命令完全没有用。如果你的没有重启,那么请自行重启idrac。
2020年02月26日 16:40:26更新
对于iDrac7的服务器,输入第一行和第二行,iDrac就自动重启了。
对于iDrac8+的服务器,需要手动输入第三行,才会执行重启操作。
七、效果展示
IE浏览器
Google浏览器(版本 80.0.3987.116(正式版本) (64 位),2020年02月22日 21:48:08)
虽然提示不安全,但是已经不弹错误了。证书显示有效。我觉得google应该还校验一些东西,比如说crl,oscp之类的。目前还没研究明白。
2020年02月26日 16:38:07更新
上图测试的服务器是戴尔R720,iDrac7,因为iDrac7使用的是TLS1.0,因此google浏览器提示不安全。
下图为戴尔R730,iDrac8,使用TLS1.2通信,小锁头出来了
Firefox浏览器(版本73.0.1 (64 位),2020年02月22日 21:51:01)
同样显示不安全,但是已经不报错了。
八、整理脚本
ip=10.0.0.1 idrac_username=root idrac_password=idrac_password racadm -r $ip -u $idrac_username -p $idrac_password sslkeyupload -t 1 -f /root/$ip.key racadm -r $ip -u $idrac_username -p $idrac_password sslcertupload -t 1 -f /root/$ip.crt racadm -r $ip -u $idrac_username -p $idrac_password racreset
评论
发表评论