Users Guide

Table Of Contents
certification, telle que VeriSign ou Thawte. L’autorité de certification peut être une autorité racine ou intermédiaire. Une fois que vous avez
reçu le certificat SSL signé par une autorité de certification, chargez-le sur le contrôleur iDRAC.
Pour que chaque contrôleur iDRAC soit considéré comme fiable par la station de gestion, le certificat SSL de chaque iDRAC doit être placé
dans le magasin de certificats de la station de gestion. Une fois le certificat SSL installé sur les stations de gestion, les navigateurs pris en
charge peuvent accéder au contrôleur iDRAC sans envoyer d’avertissements relatifs au certificat.
Vous pouvez également charger un certificat de signature personnalisé pour signer le certificat SSL au lieu d’utiliser le certificat de
signature par défaut. En important un certificat de signature personnalisé sur toutes les stations de gestion, tous les contrôleurs iDRAC
utilisant le certificat de signature personnalisé sont approuvés. Si un certificat de signature personnalisé est chargé alors qu’un certificat
SSL personnalisé est déjà utilisé, le certificat SSL personnalisé est désactivé et un certificat SSL auto-généré ponctuel et signé par le
certificat de signature personnalisé est utilisé. Vous pouvez télécharger le certificat de signature personnalisé (sans clé privée). Vous
pouvez également supprimer un certificat de signature personnalisé existant. Après avoir supprimé le certificat de signature personnalisé,
le contrôleur iDRAC est réinitialisé et génère automatiquement un nouveau certificat SSL auto-signé. Si un certificat auto-signé est
regénéré, le contrôleur iDRAC concerné doit de nouveau être approuvé par la station de gestion. Les certificats SSL auto-générés sont
auto-signés, expirent après sept ans et un jour, et sont valides depuis la veille de leur création (pour les différents paramètres de fuseau
horaire sur les stations de gestion et le contrôleur iDRAC).
Le certificat SSL du serveur Web de l’iDRAC accepte l’astérisque (*) comme caractère situé le plus à gauche du nom commun lorsqu’une
demande de signature de certificat est générée. Par exemple, *.qa.com ou *.company.qa.com. Cela s’appelle un certificat générique.
Si une demande de signature de certificat générique est générée hors du contrôleur iDRAC, vous obtenez un certificat SSL générique
signé que vous pouvez charger pour plusieurs contrôleurs iDRAC. Ainsi, tous les contrôleurs iDRAC sont considérés comme fiables par les
navigateurs pris en charge. En se connectant à l’interface Web iDRAC à l’aide d’un navigateur pris en charge qui accepte les certificats
génériques, le contrôleur iDRAC est considéré comme fiable par le navigateur. Lors de l’exécution de visionneuses, les contrôleurs iDRAC
sont considérés comme fiables par les systèmes clients des visionneuses.
Génération d'une nouvelle demande de signature de certificat
Une demande CSR est une demande numérique faite à une autorité de certification pour obtenir un certificat de serveur SSL. Les
certificats de serveur SSL permettent aux clients du serveur de faire confiance à l’identité de ce dernier et de négocier une session
cryptée avec lui.
Quand une autorité de certification reçoit une demande CSR, elle passe en revue et vérifie les informations qu’elle contient. Si le
demandeur répond aux critères de l’autorité de certification, cette dernière émet un certificat de serveur SSL avec une signature
numérique qui identifie de manière unique le serveur lorsqu’il établit des connexions SSL avec les navigateurs exécutés sur les stations de
gestion.
Une fois que l’autorité de certification a approuvé la demande CSR et émis un certificat de serveur SSL, ce dernier peut être importé
dans iDRAC. Les informations utilisées pour générer la demande CSR, stockées dans le micrologiciel iDRAC, doivent correspondre aux
informations contenues dans le certificat de serveur SSL, à savoir que le certificat doit avoir été généré en utilisant la demande CSR créée
par iDRAC.
Génération d'un fichier RSC à l'aide de l'interface Web
Pour générer un fichier RSC :
REMARQUE :
Chaque nouvelle CSR remplace toutes les données de CSR précédentes stockées dans le firmware. Les informations
contenues dans la CSR doivent correspondre aux informations contenues dans le certificat de serveur SSL. Sinon, iDRAC n’accepte
pas le certificat.
1. Dans l’interface Web d’iDRAC, accédez à Paramètres iDRAC > Services > Serveur Web > Certificat SSL, sélectionnez Générer
une nouvelle demande de signature de certificat (CSR) et cliquez sur Suivant.
La page Générer une nouvelle demande de signature de certificat s'affiche.
2. Entrez une valeur pour chaque attribut RSC.
Pour en savoir plus, voir l’Aide en ligne de l’iDRAC.
3. Cliquez sur Générer.
Une nouvelle CSR est générée. Enregistrez-la sur la station de gestion.
Génération d’un fichier CSR à l’aide de l’interface RACADM
Pour générer un fichier CSR à l’aide de RACADM, utilisez la commande set avec les objets du groupe iDRAC.Security, puis utilisez la
commande sslcsrgen pour générer le fichier CSR.
Pour en savoir plus, voir leGuide de la CLI RACADM de l’iDRAC disponible à l’adresse https://www.dell.com/idracmanuals.
Configuration de l'iDRAC
113