tecnología de cifrado asimétrico, SSL se acepta ampliamente para el suministro de comunicaciones autenticadas y cifradas entre clientes y
servidores para impedir la escucha a escondidas a través de una red.
Un sistema habilitado para SSL puede realizar las siguientes tareas:
● Autentificarse ante un cliente habilitado con SSL
● Permitir a los dos sistemas establecer una conexión cifrada
NOTA: Si el cifrado SSL se configura en 256 bits o superior y en 168 bits o superior, es posible que la configuración de la criptografía
para el entorno de máquinas virtuales (JVM o IcedTea) requiera la instalación de Unlimited Strength Java Cryptography Extension
Policy Files para permitir el uso de los complementos de iDRAC como la consola virtual con este nivel de cifrado. Para obtener
información sobre cómo instalar los archivos de políticas, consulte la documentación de Java.
De manera predeterminada, el servidor web de iDRAC cuenta con un certificado digital SSL único autofirmado de Dell. Puede reemplazar el
certificado SSL predeterminado por un certificado firmado por una Autoridad de certificados (CA) conocida. Una Autoridad de certificados
es una entidad comercial reconocida en la industria de TI por cumplir con altas normas de filtrado confiable, identificación y otro criterios
de seguridad importantes. Algunas Autoridades de certificados son Thawte y VeriSign. Para iniciar el proceso de obtención de un
certificado firmado por CA, utilice la interfaz web de iDRAC o la interfaz de RACADM a fin de generar una solicitud de firma de certificado
(CSR) con la información de la empresa. A continuación, envíe la CSR generada a una CA como VeriSign o Thawte. La CA puede ser una
CA raíz o una CA intermedia. Una vez que reciba el certificado SSL firmado de AC, cárguelo en iDRAC.
Para que cada iDRAC sea de confianza para la estación de administración, el certificado SSL de la iDRAC se debe colocar en el almacén
de certificados de la estación de administración. Una vez instalado el certificado SSL en las estaciones de administración, los navegadores
admitidos podrán acceder a iDRAC sin advertencias de certificados.
También puede cargar un certificado de firma personalizado para firmar el certificado SSL, en lugar de confiar en el certificado de firma
predeterminado para esta función. Al importar un certificado de firma personalizado en todas las estaciones de administración, todas las
iDRAC que utilizan el certificado de firma personalizado serán de confianza. Si un certificado de firma personalizado se carga cuando
un certificado SSL personalizado ya se encuentra en uso, el certificado SSL personalizado se desactiva y se utiliza un certificado SSL
generado automáticamente por única vez, firmado con el certificado de firma personalizado. Es posible cargar el certificado de firma
personalizado (sin la clave privada). Además, se puede eliminar un certificado de firma personalizado existente. Después de eliminar el
certificado de firma personalizado, iDRAC se restablece y genera automáticamente un nuevo certificado SSL autofirmado. Si se vuelve a
generar un certificado autofirmado, se debe volver a establecer la confianza entre iDRAC y la estación de trabajo de administración. Los
certificados SSL generados automáticamente son autofirmados y tienen una fecha de vencimiento de siete años y un día y una fecha de
inicio de un día en el pasado (para diferentes configuraciones de zonas horarias en las estaciones de administración e iDRAC).
El certificado SSL de servidor web de iDRAC admite el carácter asterisco (*) como parte del componente ubicado más a la izquierda
del nombre común al generar una solicitud de firma de certificado (CSR). Por ejemplo: *.qa.com o *.empresa.qa.com. Esto se denomina
certificado comodín. Si se genera una CSR comodín fuera de iDRAC, puede tener un solo certificado SSL comodín firmado que se puede
cargar para varias iDRAC y todas las iDRAC son de confianza para todos los navegadores admitidos. Si se conecta a la interfaz web de
iDRAC mediante un navegador compatible que admite un certificado comodín, la iDRAC será de confianza para el navegador. Si inicia
visores, las iDRAC serán de confianza para los clientes de los visores.
Generación de una nueva solicitud de firma de certificado
Una CSR es una solicitud digital a una autoridad de certificados (CA) para un certificado del servidor SSL. Los certificados de servidor SSL
les permiten a los clientes del servidor confiar en la identidad del servidor y negociar una sesión cifrada con el servidor.
Después de que la CA recibe la CSR, revisa y comprueba la información que contiene la CSR. Si el solicitante cumple los estándares de
la CA, esta emite un certificado del servidor SSL firmado digitalmente que identifica de manera única el servidor del solicitante cuando
establece conexiones SSL con navegadores que se ejecutan en estaciones de administración.
Después de que la CA apruebe la CSR y emita el certificado del servidor SSL, podrá cargarse en la iDRAC. La información que se utiliza
para generar la CSR, almacenada en el firmware de la iDRAC, debe coincidir con la información incluida en el certificado del servidor SSL;
es decir, el certificado debe haberse generado mediante la CSR que ha creado la iDRAC.
Generación de CSR mediante la interfaz web
Para generar una CSR nueva:
NOTA:
Cada CSR nueva sobrescribe cualquier dato de CSR anterior almacenado en el firmware. La información de la CSR debe
coincidir con la información del certificado de SSL de servidor. De lo contrario, iDRAC no aceptará el certificado.
1. En la interfaz web de iDRAC, vaya a iDRAC Settings (Configuración de iDRAC) > Connectivity (Conectividad) > SSL > SSL
certificate (Certificado de SSL), seleccione Generate Certificate Signing Request (CSR) (Generar solicitud de firma de
certificado [CSR]) y haga clic en Next (Siguiente).
Aparece la página Generar una nueva solicitud de firma de certificado (CSR).
Configuración de iDRAC
101