Veritas NetBackup™ Appliance 安全指南

要在 Linux 计算机上创建最小的自签名证书并将其导入到 IPMI Web 界面，请执行以下操作：

1. 运行以下命令以生成名为 ipmi.key 的私钥：

   $ openssl genrsa -out ipmi.key 2048
   	
   Generating RSA private key, 2048 bit long modulus
   	
   .....+++
   
   	.+++
   
   	e is 65537 (0x10001)
   

2. 使用 ipmi.key 生成名为 ipmi.csr 的证书签名请求，每个字段用其相应的值填充：

   注意:

   要避免浏览器中出现额外的警告，请将 CN 设置为 IPMI 界面的完全限定域名。将要输入的是所谓的可分辨名称或 DN。

   $ openssl req -new -key ipmi.key -out ipmi.csr
   

   请参考以下准则以输入要合并到证书请求中的信息：

   国家/地区名称（2 字母代码）[AU]：	输入您所在国家/地区的名称。例如，US。
   省/市/自治区名称（全名）[Some-State]：	输入您所在省/市/自治区的名称。例如，OR。
   区域名称（如城市）[]：	输入您所在区域的名称。例如，Springfield。
   组织名称（如公司）[Internet Widgits Pty Ltd]：	输入您组织的名称。例如，Veritas。
   组织单元名称（如部门）[]：	输入您组织单元的名称。
   常见名称（如您的姓名）[]：	输入 hostname.your.company。
   电子邮件 []：	输入您的电子邮件地址。例如，email@your.company。
   质询密码 []：	输入相应的质询密码，该密码是要随证书请求一起发送的额外属性。
   可选公司名称 []：	输入相应的可选公司名称，该名称是要随证书请求一起发送的额外属性。

   注意:

   输入 . 以将任何字段留空。

3. 使用 ipmi.key 签署 ipmi.csr ，然后创建名为 ipmi.crt 的证书，其有效期为 1 年：

   $ openssl x509 -req -in ipmi.csr 
   
   -out ipmi.crt -signkey ipmi.key 
   
   -days 365
   
   	Signature ok
   
   	subject=/C=US/ST=OR/L=Springfield
   
   /O=Veritas/OU=Your OU/
   
   CN=hostname.your.company/
   
   emailAddress=email@your.company
   	
   
   Getting Private key
   

4. 连接 ipmi.crt 和 ipmi.key 以创建名为 ipmi.pem 的证书（采用 PEM 格式）。

   $ cat ipmi.crt ipmi.key > ipmi.pem

5. 将 ipmi.pem 复制到可访问设备的 IPMI Web 界面的主机。
6. 登录 Veritas Remote Management（IPMI Web 界面）。
7. 单击“配置”> SSL。

   设备将显示“SSL 上载”页面。

8. 从“SSL 上载”页面中，单击“选择文件”以导入证书。
9. 选择 ipmi.pem，然后单击“上载”。
10. 可能会显示警告，指出 SSL 证书已存在，按“确定”以继续。
11. 要导入密钥，请重新单击“选择文件”（请注意按钮旁边显示的是“新私钥”）。
12. 选择 ipmi.pem，然后单击“上载”。
13. 将显示一条确认消息，指出已成功上载证书和密钥，按“确定”以重新启动 Web 服务。
14. 关闭再重新打开 Veritas Remote Management（IPMI Web 界面）界面，以验证所显示的是否为新证书。