11世代のPowerEdgeを使う事があって、久しぶりにiDracから仮想コンソールを立ち上げようとしたところ、「CONNECTION FAILED」で接続できなかった。javaアプレットのバージョンとかセキュリティとか諸々は問題なかったため、壊れちゃったかな。。。
と思っていたが、どうやらjava8以上になってしまうとSHA1はどんな状態でも使えなくなってしまうようです。
という事でiDracのSSL証明書を更新してあげます。
手順
CSRの作成
-
iDrac GUIの左メニューより「iDrac 設定」から「ネットワーク/セキュリティ」タブの「SSL」を開きます。
「証明書署名要求(CSR)の生成」を選んで「次へ」をクリックします。
コモンネーム(CN)、組織名、部門名、市区町村、都道府県名、国名、電子メールをそれぞれ入力し、「生成」をクリックすると生成されたcsrが自動でダウンロードされます。
※入力項目は任意 -
お金があったり、面倒くさい事が嫌いな場合は生成されたcsrを使ってSSL証明書を発行してくれるところでそのまま出せば証明書を手に入れる事ができます。SSLメインメニューの「サーバー証明書のアップロード」で取得したSSL証明書をアップロードして終わりです。
-
今回は公開する画面でもないので、オレオレ認証局で証明書を発行します。
オレオレ認証局の作成
以下、opensslが使えるlinuxサーバでの作業
-
caの秘密鍵を作成します
openssl genrsa -aes256 -out /etc/pki/CA/private/cakey.pem 2048
Generating RSA private key, 2048 bit long modulus
...........+++
....+++
e is 65537 (0x10001)
Enter pass phrase for ca.pem: ←任意のパスフレーズ
Verifying - Enter pass phrase for ca.pem: ←上記と同じ
```
-
要求CSRを作成します
openssl req -new -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.csr
Enter pass phrase for /etc/pki/CA/private/cakey.pem: ←先ほど設定したパスフレーズ
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
Country Name (2 letter code) [XX]: ←国名
State or Province Name (full name) []: ←市町村
Locality Name (eg, city) [Default City]: ←都道府県
Organization Name (eg, company) [Default Company Ltd]: ←組織名
Organizational Unit Name (eg, section) []: ←部署名
Common Name (eg, your name or your server's hostname) []: ←ホスト名など
Email Address []: ←空
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: ←空
An optional company name []: ←空
```
-
証明書を発行します
openssl x509 -days 3650 -in /etc/pki/CA/cacert.csr -req -signkey /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem
Signature ok
subject=/C=JP/ST=Minato-ku/L=Tokyo/O=hogehoge/OU=infra/CN=poweredge
Getting Private key
Enter pass phrase for /etc/pki/CA/private/cakey.pem: ←先ほど設定したパスフレーズ
```
※10年証明書にしています
-
index用のファイルを作成しておきます。
touch /etc/pki/CA/index.txt
touch /etc/pki/CA/index.txt.attr
touch /etc/pki/CA/serial
```
-
iDracで生成しダウンロードしたcsrファイルを「hogehoge.csr」として配置しておきます。
その後、そのcsrから証明書を作成します。
openssl ca -in hogehoge.csr -out idrac.crt -days 3650
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for /etc/pki/CA/private/cakey.pem: ←先ほど設定したパスフレーズ
```
※ idrac.crtが生成されるので、PCなどにコピーします
証明書のアップロード
- iDrac GUIから「サーバー証明書のアップロード」から生成したidrac.crtをアップロードします。
iDracの再起動
- アップロードが完了したら「iDracのリセット」を実行し完了です。