背景
使用浏览器访问BMC管理界面,使用https协议,需要服务端内置ssl证书。ssh登录bmc后台,执行ipmcget -t certificate -d info查看SSl证书信息,没有则需要使用ipmcset -t certificate -d import -v <localpath/URL> 1 [passphrase]导入SSL证书。
前提条件
openssl 版本> 3.0
操作步骤
- 生成私钥
openssl genrsa -out CA.key 4096
openssl genrsa -out SSL.key 4096
- 生成CA证书
openssl req -new -subj "/C=CN/ST=xxx/L=xx/O=xx/OU=xx/CN=xx" -x509 -key CA.key -out CA.crt -days 3650
– subj参数字段说明:
- C (Country):国家/地区代码,表示证书主体的注册地点。
- ST (State or Province):州或省份,标识证书主体的地理位置。
- L (Locality):地方或城市名称,进一步指明证书主体的所在地。
- O (Organization):组织名称,标识持有证书的组织或公司。
- OU (Organizational Unit):组织单位,表示在组织内部使用该证书的部门或分支。
- CN (Common Name):常用名称,通常是域名。
-days 参数为证书有效期,单位为天。
以上参数按实际情况填写。
- 生成CSR
openssl req -new -subj "/C=CN/ST=xxx/L=xx/O=xx/OU=xx/CN=xx" -key SSL.key -out SSL.csr
- 签发CSR
- x509v3 版本 【推荐】
echo -e "[v3_req]\nbasicConstraints = critical,CA:FALSE\n" > ssl.conf
openssl x509 -req -days 3650 -in SSL.csr -CA CA.crt -CAkey CA.key -CAcreateserial -out SSL.crt -extfile ssl.conf -extensions v3_req
- x509v1 版本
openssl x509 -req -days 3650 -in SSL.csr -CA CA.crt -CAkey CA.key -CAcreateserial -out SSL.crt
- 生成p12格式证书
openssl pkcs12 -inkey SSL.key -in SSL.crt -export -out SSL.p12
此处需要设置证书导出的密码。
用生成的SSL.p12证书导入到BMC环境中。