当前位置: 首页 >> 原创·技术 >> 202002222049 为戴尔服务器idrac替换SSL证书 >> 正文

202002222049 为戴尔服务器idrac替换SSL证书

7个月前 (02-26)     作者:iMoke     分类:原创·技术     阅读次数:1105     评论(0)    

本教程图文并茂的介绍了戴尔服务器idrac替换自签证书的完整过程。


一、参考资料

为 Dell iDRAC8 上传 SSL 证书

201912311309 戴尔服务器idrac SSL配置失败解决办法(作者我自己,哈哈哈,如果替换失败了,可以按照这个教程恢复默认)

image.png

二、下载资料

官方下载页面:(For RedHat 7)Dell EMC iDRAC Tools for Linux,v9.4.0

官方下载页面:(For RedHat 6)Dell EMC iDRAC Tools for Linux,v9.3.0

官方直接下载(For RedHat 7)DellEMC-iDRACTools-Web-LX-9.4.0-3732_A00.tar.gz

官方直接下载(For RedHat 6)DellEMC-iDRACTools-Web-LX-9.3.0-3379_A00.tar.gz


三、配置环境

我的测试环境是CentOS-7-x86_64-Minimal-1908

下载的是DellEMC-iDRACTools-Web-LX-9.4.0-3732_A00.tar.gz


四、开始使用(注:d.rc.it为内网虚拟域名

这里我们主要使用racadm工具,这个工具在包里都可以找到。

官方包直接运行install.sh即可。

cd /root
wget http://d.rc.it/Drivers/Server/iDRACTools/DellEMC-iDRACTools-Web-LX-9.4.0-3732_A00.tar.gz
tar zxvf DellEMC-iDRACTools-Web-LX-9.4.0-3732_A00.tar.gz
cd iDRACTools/racadm/
bash ./install_racadm.sh

image.png


为了方便使用,我建议创建一个软链接(非必须)

ln -s /opt/dell/srvadmin/sbin/racadm /usr/sbin/racadm

image.png

这时候我们遇到了一个坑:libssl.so

image.png


解决办法,去 /usr/lib64 找找你的libssl库文件,然后向dell的lib64目录创建一个软链接即可

ln -s /usr/lib64/libssl.so.1.0.2k /opt/dell/srvadmin/lib64/libssl.so

这时候可以测试一下,输入完racadm后,系统会自动输出一些例子,按照例子操作即可。

racadm -r <idrac管理地址> -u <idrac用户名> -p <idrac密码> <命令> <选项>
racadm -r 192.168.0.120 -u racuser1 -p aygqt12a getsysinfo

重新测试

Security Alert:因为默认的idrac使用的是自签证书,所以弹出这个提示,并没有什么影响。

出现了下面内容,说明你的配置是全部正确的。下一步,我们可以开始替换证书了。

image.png


五、制作证书

这部分我就不详细说了。以后有机会我单独出证书的教程。

你是在网上申请可信证书,还是自己做CA签发证书,这个就看各位的本事了。

我使用的软件是XCA,一个功能强大的Windows 证书管理器,官方地址:http://hohnstaedt.de/xca

注:

1.自签证书记得添加到Windows受信任的颁发机构

2.各个浏览器的证书信任,请自行百度。

image.png

image.png

image.png


六、替换证书

请先把证书文件可私钥文件上传到服务器.

#第一行,上传key文件
#第二行,上传证书文件
#第三行,重启idrac

racadm -r 10.170.135.125 -u idrac_username -p idrac_password sslkeyupload -t 1 -f /root/10.170.135.125.key
racadm -r 10.170.135.125 -u idrac_username -p idrac_password sslcertupload -t 1 -f /root/10.170.135.125.crt
racadm -r 10.170.135.125 -u idrac_username -p idrac_password racreset

根据我的实际经验,crt文件上传后,idrac就自动重启了,所以第三行命令完全没有用。如果你的没有重启,那么请自行重启idrac。

2020年02月26日 16:40:26更新

对于iDrac7的服务器,输入第一行和第二行,iDrac就自动重启了。

对于iDrac8+的服务器,需要手动输入第三行,才会执行重启操作。


七、效果展示

IE浏览器

image.png


Google浏览器(版本 80.0.3987.116(正式版本) (64 位),2020年02月22日 21:48:08)

虽然提示不安全,但是已经不弹错误了。证书显示有效。我觉得google应该还校验一些东西,比如说crl,oscp之类的。目前还没研究明白。

image.png


2020年02月26日 16:38:07更新

上图测试的服务器是戴尔R720,iDrac7,因为iDrac7使用的是TLS1.0,因此google浏览器提示不安全。

下图为戴尔R730,iDrac8,使用TLS1.2通信,小锁头出来了

image.png


Firefox浏览器(版本73.0.1 (64 位),2020年02月22日 21:51:01)

同样显示不安全,但是已经不报错了。

image.png


八、整理脚本

ip=10.0.0.1
idrac_username=root
idrac_password=idrac_password
racadm -r $ip -u $idrac_username -p $idrac_password sslkeyupload -t 1 -f /root/$ip.key
racadm -r $ip -u $idrac_username -p $idrac_password sslcertupload -t 1 -f /root/$ip.crt
racadm -r $ip -u $idrac_username -p $idrac_password racreset


除非注明,发表在“傲孤漠客”的文章『202002222049 为戴尔服务器idrac替换SSL证书』版权归iMoke所有。 转载请注明出处为“本文转载于『傲孤漠客』原地址https://www.imoke.org/post/20200222169.html

评论

发表评论   

昵称*

E-mail*(建议输入,以便收到博主回复的提示邮件)

网站

分享:

支付宝

微信