%20%E8%87%AA%E7%AD%BE%E5%90%8D%20SSL%20%E8%AF%81%E4%B9%A6.png)
问题:
当我通过浏览器访问 ilo 时,它返回一个 SSL 证书错误。
我尝试过:
我从 iLO 网络界面 --> 安全 --> SSL 证书创建了一个 CSR(ilo.csr)
在我尝试通过 OpenSSL 以如下方式进行自我签名之后:
openssl genrsa -aes256 -out rootCA.key 4096
openssl req -x509 -new -nodes -key rootCA.key -days 1024 -out rootCA.pem
openssl x509 -req -in ilo.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out ilo.crt -days 500
在最后:
-I 在安全中导入了 ilo.crt --> SSL 证书 --> 定制证书 --> 导入证书
-我通过单击安装了 ilo.crt,并将其插入受信任的根证书颁发机构中
我没有得到任何结果
SSL 证书页面说明
通过导入受信任的证书,可以增强 iLO 安全功能。iLO 可以创建 PKCS #10 格式的证书签名请求 (CSR) 以发送给证书颁发机构 (CA)。CSR 采用 base64 编码。CA 处理请求并返回响应(X.509 证书)以导入到 iLO。
导入证书分为四个步骤:
Generate a CSR. Send the CSR to a CA and receive a certificate. Import the certificate into iLO. Restart iLO.
答案1
如果您自行签名,则需要将伪造的 CA 添加到您的根 CA 存储中。如果您检查证书路径,您会发现这是您的问题。
证明该概念的一种方法是检查浏览器中失败的证书,然后将该证书安装到根 CA 中。
如果您不想使用自签名,则必须制作由贵公司 CA 副署的真实证书。还没有尝试过为 iLO 生成 LetsEncrypt 证书。这些通常需要在端点执行某些操作,但我知道有一些方法可以使用 DNSSEC 或其他 DNS 功夫来实现。