Veritas NetBackup™ Appliance 安全指南

创建和实施外部 IPMI SSL 证书

1. 生成私钥。

   注意:

   生成密钥时需要密码。此示例过程使用 1234。以后可以删除该密码。

   执行以下任务以生成私钥：

   • 登录到 NetBackup Appliance 命令行操作界面（命令行操作界面），并使用以下命令进入维护模式：

     Support > Maintenance

   • 使用以下命令输入私钥文件的名称，并在出现提示时输入密码：

     openssl genrsa -aes256 -out privkey5250.pem 2048

   • 使用以下命令显示私钥文件内容：

     cat privkey5250.pem

   • 使用以下命令检查私钥文件，并在出现提示时输入密码：

     openssl rsa -in privkey5250.pem -check –noout

2. 为 IPMI 生成 CSR。

   CSR 文件将创建为 .req 文件，并上传到 CMP 请求。

   • 使用以下命令输入 CSR 的名称，并在出现提示时输入密码：

     openssl req -new -key privkey5250.pem –sha256 -out csr_ipmi.req -subj/CN=<HostFQDN>/OU=<>/O=<>/C=<>/L=<>/ST=<>

     其中 CN 是服务器 IPMI FQDN 名称，OU 是组织单位，O 是组织，C 是国家/地区，L 是位置，ST 是省/市/自治区。输出文件名结果为 ipmi5250.req。

   • 使用以下命令验证 CSR：

     openssl req -in ipmi5250.req -subject -verify –noout

   • 使用以下命令显示 CSR 文件内容：

     cat ipmi5250.req

     这些内容用于 CMP 网站上的 CSR 请求。

   • 您将在电子邮件中收到新证书。保存 IPMI 证书，并将文件命名为 ipmi5250.cer。

   • 使用以下命令显示和查看证书详细信息：

     openssl x509 -text -in certificate.cer

3. 实施 IPMI 证书，如下所示：

   • 使用以下命令从私钥中删除密码，然后在出现提示时输入密码：

     openssl rsa -in privkey5250.pem -out privkey.pem

   • 如果远程管理控制台 (RMM) 使用 BMC 2.86 或更高版本，则将 CA 根证书、CA 中间证书和服务器证书连接为单个 .pem 文件。例如：

     cat ipmi5250.cer root-cacert.pem root-intermediatecert.pem > ipmi5250certificate.pem

     如果 RMM 使用低于 2.86 的 BMC 版本，则只能使用从第三方证书颁发机构收到的服务器证书进行上传。

   • 将 ipmi5250certificate.pem 文件复制到 Windows 服务器，您可以在其中从 Web 浏览器连接到 RMM 控制台。

   • 登录到 RMM 控制台，然后在左侧屏幕菜单上单击“配置”>“SSL 认证”。

   • 单击“选择文件”。当系统提示输入新的 SSL 证书时，为“新建 SSL 证书”选择 ipmi5250certificate.pem，为“新建私钥”选择 privkey.pem。

   • 单击“上传”。当出现提示，指示证书已存在时，单击“确定”。将显示一条消息，指示已成功上传证书。

   • RMM 控制台将自动重新启动。等待几分钟，然后登录并重新加载网页以确认已成功应用证书。