Veritas NetBackup™ Appliance 安全指南
替换默认 IPMI SSL 证书
Veritas 建议更换用于访问 Veritas Remote Management (RMM) 控制台的默认 IPMI SSL 证书。可以使用由可信内部或外部证书颁发机构签名的证书(PEM 格式)或自签名证书。使用以下过程在 Linux 计算机上创建最小的自签名证书,并将其导入到 IPMI Web 界面。
注意:
从 BMC v2.86 开始,RMM 控制台不允许上传 .key 文件。只能上传 SSL 证书的 .pem 文件。生成自签名证书时,必须生成带有 .pem 文件扩展名的私钥。
要在 Linux 计算机上创建最小的自签名证书并将其导入到 RMM 控制台,请执行以下操作:
- 运行以下命令以生成名为
ipmi.key的私钥:$ openssl genrsa -out ipmi.key 2048 Generating RSA private key, 2048 bit long modulus .....+++ .+++ e is 65537 (0x10001)
- 使用
ipmi.key生成名为ipmi.csr的证书签名请求,每个字段用其相应的值填充:注意:
要避免浏览器中出现额外的警告,请将 CN 设置为 RMM 控制台的完全限定域名。将要输入的是所谓的可分辨名称或 DN。
$ openssl req -new -key ipmi.key -out ipmi.csr
请参考以下准则以输入要合并到证书请求中的信息:
国家/地区名称(2 字母代码)[AU]:
输入您所在国家/地区的名称。例如,US。
省/市/自治区名称(全名)[Some-State]:
输入您所在省/市/自治区的名称。例如,OR。
区域名称(如城市)[]:
输入您所在区域的名称。例如,Springfield。
组织名称(如公司)[Internet Widgits Pty Ltd]:
输入您组织的名称。例如,Veritas。
组织单元名称(如部门)[]:
输入您组织单元的名称。
常见名称(如您的姓名)[]:
输入
hostname.your.company。电子邮件 []:
输入您的电子邮件地址。例如,
email@your.company。质询密码 []:
输入相应的质询密码,该密码是要随证书请求一起发送的额外属性。
可选公司名称 []:
输入相应的可选公司名称,该名称是要随证书请求一起发送的额外属性。
注意:
输入 . 以将任何字段留空。
- 使用
ipmi.key签署ipmi.csr,然后创建名为ipmi.crt的证书,其有效期为 1 年:$ openssl x509 -req -in ipmi.csr -out ipmi.crt -signkey ipmi.key -days 365 Signature ok subject=/C=US/ST=OR/L=Springfield /O=Veritas/OU=Your OU/ CN=hostname.your.company/ emailAddress=email@your.company Getting Private key
- 将生成的自签名证书和私钥文件复制到有权访问设备 RMM 控制台的主机。
- 登录到 RMM 控制台。
- 单击“配置”>“SSL 认证”。
设备将显示“SSL 上传”页面。
- 从“SSL 上传”页面中,执行以下操作:
单击“新建 SSL 证书”,然后选择复制的自签名证书文件。
单击“新建私钥”,然后选择复制的密钥文件。
单击“上传”。
- 可能会显示警告,指出 SSL 证书已存在。按“确定”继续执行操作。
- 将显示一条确认消息,指出已成功上传证书和密钥。按“确定”重新启动 Web 服务。
- 关闭并重新打开 RMM 控制台,以验证是否提供了新证书。