我有一台安装了 ILO 2.29 的 HP DL380 G6。
现在,将证书升级为 AD 签名的证书(以摆脱令人讨厌的警告)后,我们仍然遇到最后一个问题,该问题仅显示在 Google Chrome 上:
ERR_SSL_BAD_RECORD_MAC_ALERT
进一步阅读后发现,Google Chrome 似乎对 ILO2 系统使用的 SHA-1 加密不太满意。
有办法解决这个问题吗?
即我可以强制 ILO2 使用比 SHA-1 更好的算法吗?
完整的证书转储为:
X509 Certificate:
Version: 3
Serial Number: 1d0000000b85713cc29f4595d000000000000b
Signature Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.11 sha256RSA
Algorithm Parameters:
05 00
Issuer:
CN=Home Inc.
DC=home
DC=testdomain
DC=be
Name Hash(sha1): 6f322c596a075803d1048b64a5ad768e559a7891
Name Hash(md5): 74b4d5246bbea846ed7393ccd7292041
NotBefore: 6/19/2016 8:36 PM
NotAfter: 6/19/2018 8:36 PM
Subject:
CN=HP-ILO
OU=SERVERS
O=testdomain
L=shoo
S=shoo
C=shoo
Name Hash(sha1): 9d3bc6d73e723ea22258c3c419c15ab33b09df82
Name Hash(md5): 8fdeeede036e8db383f04d6094b434d7
Public Key Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.1 RSA (RSA_SIGN)
Algorithm Parameters:
05 00
Public Key Length: 2048 bits
Public Key: UnusedBits = 0
0000 30 82 01 0a 02 82 01 01 00 f1 35 e8 d7 dd 82 3a
0010 c5 f5 a4 f7 0f 8d b8 bf 2b f4 72 e6 c0 c7 a2 be
0020 c2 84 d4 6e 9a 2b 84 9c ee 2f 1a e5 46 98 4a 9d
0030 97 cb 43 5f 96 2d ff ae 26 0c ae e0 f5 fc 89 2f
0040 f5 ff 58 6b 0e fb 2e 0f dc 06 63 3b d4 34 da 77
0050 a4 5b 82 8a e3 20 d3 5c b6 f8 9b f1 23 8d d4 76
0060 f6 82 bc 3e 54 55 79 3d 19 86 00 4b 63 eb 36 d2
0070 57 db d4 fd 04 8a 4d a6 64 82 84 f3 08 86 b3 10
0080 e8 3a 95 67 5b b1 da 56 2c 8f 73 5f 39 ed a0 d4
0090 8e 3b 4a 6a 01 4d ca 3d e3 54 59 74 89 43 85 af
00a0 25 21 1a ca 58 55 2c 9d 9c a2 cb c6 05 3c c5 70
00b0 0a 7b 72 d2 30 5d 65 34 75 53 0c 76 17 f3 f9 b2
00c0 31 05 51 90 15 32 e5 43 0c 59 21 d2 26 c7 34 a6
00d0 c7 4d 2e 99 4c 00 33 c3 06 05 c7 f3 f8 a0 26 ee
00e0 3d e7 ef d7 2a 4e 02 7b 7c b8 6a 12 31 55 2f c2
00f0 1c 81 6e 8a 5c da 50 fb 0d 20 a6 16 2d 0e d7 4a
0100 25 b7 f5 ae e3 77 19 4a e7 02 03 01 00 01
Certificate Extensions: 7
2.5.29.14: Flags = 0, Length = 16
Subject Key Identifier
ea 28 11 0d f2 d1 31 60 90 66 01 88 b0 ac 68 e4 00 05 79 d5
2.5.29.35: Flags = 0, Length = 18
Authority Key Identifier
KeyID=39 0b 9e 8a fc fa 6d a8 13 82 b9 50 04 0c e8 72 46 67 70 bb
2.5.29.31: Flags = 0, Length = c9
CRL Distribution Points
[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=ldap:///CN=Home Inc.,CN=ad,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=home,DC=testdomain,DC=be?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:///CN=Home%20Inc.,CN=ad,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=home,DC=testdomain,DC=be?certificateRevocationList?base?objectClass=cRLDistributionPoint)
1.3.6.1.5.5.7.1.1: Flags = 0, Length = bd
Authority Information Access
[1]Authority Info Access
Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
Alternative Name:
URL=ldap:///CN=Home Inc.,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=home,DC=testdomain,DC=be?cACertificate?base?objectClass=certificationAuthority (ldap:///CN=Home%20Inc.,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=home,DC=testdomain,DC=be?cACertificate?base?objectClass=certificationAuthority)
1.3.6.1.4.1.311.20.2: Flags = 0, Length = 14
Certificate Template Name (Certificate Type)
WebServer
2.5.29.15: Flags = 1(Critical), Length = 4
Key Usage
Digital Signature, Key Encipherment (a0)
2.5.29.37: Flags = 0, Length = c
Enhanced Key Usage
Server Authentication (1.3.6.1.5.5.7.3.1)
Signature Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.11 sha256RSA
Algorithm Parameters:
05 00
Signature: UnusedBits=0
0000 a4 4d e3 7c 8d 77 e2 1a ea e2 78 40 99 cf 3b e7
0010 1c c9 31 a5 cc 3e a1 57 44 f7 3b ca 01 ff 04 72
0020 09 fa 89 0d 42 35 9b 25 4e 30 a7 d5 7d b0 ff 0a
0030 e6 29 86 87 b9 40 ba bc 7a 36 42 93 43 20 0b 8b
0040 b6 d5 76 8b d8 80 56 52 c8 39 11 83 70 d8 de ed
0050 f4 4f 15 5c d9 5b 36 10 af ac e1 a2 f9 0d 31 fd
0060 ec 6e c8 83 17 1f 69 9b a4 d9 ff e5 c1 6d 80 87
0070 a4 5e be d5 61 36 27 1e 16 c0 51 33 ed d6 b3 14
0080 6f 1f d2 4c 36 e9 03 f8 7a 8f 35 25 2e 0a 62 0c
0090 01 47 c2 0a c9 ff a1 af 46 67 2e c8 5a c4 c8 77
00a0 4b b6 22 64 e3 ac 8f 4c 5e a2 f7 66 6a 6f 75 dc
00b0 0f 26 31 5d b6 7f da aa a7 0e 5c 12 5c 75 70 d4
00c0 9b 97 24 81 8a 26 bd 49 bf 53 5c cd a4 04 f6 5e
00d0 29 92 ca 72 de 02 5e 0f bf 48 49 ca 24 ab df 16
00e0 f2 a3 01 da 29 48 8b 29 34 73 6c 11 b1 38 16 ef
00f0 47 20 f0 cc 2a 14 78 6a 74 eb 11 22 71 d6 39 6d
Non-root Certificate
Key Id Hash(rfc-sha1): ea 28 11 0d f2 d1 31 60 90 66 01 88 b0 ac 68 e4 00 05 79 d5
Key Id Hash(sha1): 54 0d ac 87 75 0c 82 c8 2f a4 e2 fe 1d 65 5c 21 47 3f 08 f1
Key Id Hash(md5): e36768ce04aa7a75dedd187f9f17269a
Key Id Hash(sha256): cdbb7566463c725c69ddcc125544c27a4e0414203d94626fbb5b47f4875dcb6d
Cert Hash(md5): 26 7c 72 b2 e1 67 57 fe 4b 0b a0 45 9f 2b 0d 25
Cert Hash(sha1): c1 20 60 13 4e 54 6d 6d 3b eb f7 1e c2 6c c1 be 59 d5 2d ac
Cert Hash(sha256): 7c5332ce0bb7a0f0e1bd94327e09735b007269ef7f06ff1aa734cf11f2de05fc
Signature Hash: ae8d05c70cedce72861fb44d91b9077e3cadb12caac25bdb91279ddf160f97c1
CertUtil: -dump command completed successfully.
答案1
首先:该问题与 SHA-1 无关。
问题是 iLO2 不支持 TLS >1.0,并且 TLS 1.0 已在 Chrome 中被禁用。
我认为,如果没有 HP 的干预,这个问题就无法解决。
答案2
在较新版本的 Firefox 中,在地址栏中输入 about:config 并按 Enter,然后单击“我会小心的,我保证!”按钮。在新出现的搜索栏中输入“tls”,等待浏览器返回 tls 的设置。检查“security.tls.version.min”是否为 1(这是默认值)。然后检查“security.tls.version.fallback-limit”的值。默认情况下,其值为 3。将其更改为 1,然后再次尝试打开 ILO 网页。
最好的祝愿!
答案3
使用 Firefox,导航到about:config并更改以下值:
security.tls.enable_0rtt_data false
security.tls.insecure_fallback_hosts 192.168.1.1
security.tls.version.min 1
将值调整为insecure_fallback_hosts您需要访问的 IP 或主机名。
答案4
解决方法是使用 Firefox。