Users Guide
• Sich an einem SSL-aktivierten Client authentifizieren
• Beiden Systemen gestatten, eine verschlüsselte Verbindung herzustellen
ANMERKUNG: Wenn die SSL-Verschlüsselung auf 256 Bit oder höher und 168 Bit oder höher festgelegt ist, erfordern
die Kryptografie-Einstellungen für die Umgebung Ihrer virtuellen Maschine (JVM, IcedTea) möglicherweise eine
Installation der Unlimited Strength Java Cryptography Extension Richtliniendateien, um die Verwendung von iDRAC-
Plugins wie der vConsole mit dieser Verschlüsselungsebene zuzulassen. Weitere Informationen über das Installieren der
Richtliniendateien finden Sie in der Dokumentation zu Java.
iDRAC Webserver verfügt standardmäßig über ein von Dell selbst signiertes, eindeutiges digitales SSL-Zertifikat. Sie können das
standardmäßige SSL-Zertifikat durch ein von einer bekannten Zertifizierungsstelle signiertes Zertifikat ersetzen. Eine Zertifizierungsstelle
ist ein Unternehmen, das in der IT-Industrie dafür anerkannt ist, hohe Ansprüche bezüglich des zuverlässigen Screenings, der
Identifizierung und anderen wichtigen Sicherheitskriterien zu erfüllen. Beispiele für Zertifizierungsstellen sind Thawte und VeriSign. Um den
Prozess des Abrufens signierter Zertifikate zu initiieren, verwenden Sie entweder die iDRAC-Web-Schnittstelle oder die RACADM-
Schnittstelle. Über diese Schnittstellen können Sie eine Zertifikatsignierungsanforderung (CSR) mit den Daten für Ihr Unternehmen
generieren. Übermitteln Sie anschließend die generierte Zertifikatsignierungsanforderung (CSR) an eine Zertifizierungsstelle wie VeriSign
oder Thawte. Bei der Zertifizierungsstelle kann es sich um eine Stammzertifizierungsstelle oder um eine Zwischenzertifizierungsstelle
handeln. Nachdem Sie das von der Zertifizierungsstelle signierte SSL-Zertifikat erhalten haben, laden Sie es in iDRAC hoch.
Für jeden iDRAC, dem die Management Station vertrauen soll, muss das jeweilige iDRAC-SSL-Zertifikat im Zertifikatspeicher der
Management Station platziert werden. Wenn das SSL-Zertifikat auf den Management Stations installiert ist, können unterstützte Browser
auf iDRAC ohne Zertifikatswarnungen zugreifen.
Sie können zur Signierung des SSL-Zertifikats auch ein benutzerdefiniertes Signaturzertifikat hochladen, anstatt des
Standardsignaturzertifikats für diese Funktion. Durch den Import eines benutzerdefinierten Signaturzertifikats in alle Management Stations
werden alle iDRACs als vertrauenswürdig gekennzeichnet, die dieses benutzerdefinierte Signaturzertifikat verwenden. Falls ein
benutzerdefiniertes Signaturzertifikat hochgeladen wird, wenn ein anderes benutzerdefiniertes SSL-Zertifikat bereits verwendet wird, wird
das benutzerdefinierte SSL-Zertifikat deaktiviert und ein einmaliges, automatisch generiertes SSL-Zertifikat verwendet, das mit dem
benutzerdefinierten Signaturzertifikat signiert ist. Sie können das benutzerdefinierte Signaturzertifikat (ohne den privaten Schlüssel)
herunterladen. Sie können auch das vorhandenen Signaturzertifikat löschen. Nach Löschen des benutzerdefinierten Signaturzertifikats
setzt iDRAC dieses zurück und generiert automatisch ein neues, selbst signiertes SSL-Zertifikat. Wenn ein selbst signiertes Zertifikat
erneut generiert wird, muss die Vertrauensstellung zwischen iDRAC und der Management Workstation erneut konfiguriert werden.
Automatisch generierte SSL-Zertifikate sind selbst signiert und haben ein Ablaufdatum von sieben Jahren und einem Tag; das Startdatum
liegt einen Tag zurück (wegen verschiedener Zeitzoneneinstellungen für die Management Stations und iDRAC).
Das SSL-Zertifikat für iDRAC-Webserver unterstützt Sternchen (*) als Teil der am weitesten links stehenden Komponente des
allgemeinen Namens im Rahmen der Generierung einer Zertifikatsignierungsanforderung (CSR). Beispiel: *.qa.com oder
*.company.qa.com. Dies wird als Platzhalterzertifikat bezeichnet. Wenn eine Zertifikatsignierungsanforderung mit Platzhaltern außerhalb
von iDRAC generiert wird, können Sie ein einzelnes signiertes SSL-Platzhalterzertifikat für mehrere iDRACs hochladen. Alle iDRACs gelten
für unterstützte Browser als vertrauenswürdig. Beim Herstellen einer Verbindung zur iDRAC Webschnittstelle unter Verwendung eines
unterstützten Browsers, das ein Platzhalterzertifikat unterstützt, gilt iDRAC für den Browser als vertrauenswürdig. Beim Starten der
Ansichten gelten die iDRACs für die Anzeigeclients als vertrauenswürdig.
Neue Zertifikatsignierungsanforderung erstellen
Eine CSR ist eine digitale Anforderung eines sicheren SSL-Serverzertifikats an die Zertifizierungsstelle. SSL-Serverzertifikate ermöglichen
Clients des Servers, die Identität des Servers als vertrauenswürdig einzustufen und eine verschlüsselte Sitzung mit dem Server
auszuhandeln.
Nachdem die Zertifizierungsstelle eine Zertifikatssignierungsanforderung erhalten hat, verifiziert und bestätigt sie die darin enthaltenen
Informationen. Wenn der Anmeldende die Sicherheitsstandards der Zertifikatzertifizierungsstelle erfüllt, gibt die
Zertifikatzertifizierungsstelle ein digital signiertes SSL-Serverzertifikat aus, das den Server des Anmeldenden beim Aufbau von SSL-
Verbindungen über Browser, die auf Management Stations ausgeführt werden, eindeutig identifiziert.
Nach der Genehmigung der Zertifikatsignierungsanforderung (CSR) und der Ausgabe des SSL-Serverzertifikats durch die
Zertifizierungsstelle kann die CSR in iDRAC hochgeladen werden. Die Informationen, die zum Generieren der CSR verwendet und auf der
iDRAC-Firmware gespeichert werden, müssen mit den Informationen auf dem SSL-Serverzertifikat übereinstimmen, dies bedeutet, dass
das Zertifikat mithilfe der durch iDRAC erstellten CSR generiert worden sein muss.
CSR unter Verwendung der Webschnittstelle erstellen
Um neue CSR zu erstellen:
ANMERKUNG:
Jede neue CSR überschreibt alle vorhergehenden CSR-Daten, die in der Firmware gespeichert sind. Die
Informationen in der CSR müssen den Informationen im SSL-Serverzertifikat entsprechen. Andernfalls akzeptiert
iDRAC das Zertifikat nicht.
iDRAC konfigurieren 105