Főoldal » Dell OMSA & Enterprise CA

Dell OMSA & Enterprise CA

MEGOSZTÁS

Ha tetszett a cikk, akkor nyugodtan oszd meg ismerőseiddel, valószínű ők is örülni fognak neki.

Az új szerverek kapcsán felmerült bennem, hogy az OMSA tanúsítványa ne a Dell által generált, önaláírt tanúsítvány legyen, hanem a hálózatunkban is használt Enterprise CA által kiállított.


Alapértelmezésben nem tűnik nagy kunsztnak, de a végrehajtás során folyamatosan hibába ütköztem:


ERROR! Import of OMSA.cer failed. Try again.


Mikor már az agyam darabokban hevert, akkor kértem a Dell support segítségét. Kiderült, hogy nekik sem sikerül elsőre, így hosszas nyomozás következett, aminek a végeredményeképpen végül sikerült megetetni a tanúsítványt az OMSA-val.


Szóval akkor következzen a menet:


Generate a new certificate: létrehozunk egy másik önaláírt tanúsítványt, olyan adatokkal, amelyet mi szeretnénk (pl. Alias: Omsa, CN=szervernév) – úgy tűnik, ezt a lépés, bármennyire ésszerűtlen, szükséges. Amire érdemes figyelni: alapból az OMSA telepítő az asztalra kitesz egy parancsikont, amely a szerver Netbios-nevével tölti be az OMSA-t. Ha ez megfelel, akkor értelemszerűen a CN is ez a rövid név legyen – ha nem, akkor a CN-be olyan értéket írjunk, amelyet a böngésző sorában fogunk használni az OMSA-ra való hivatkozáskor – ellenkező esetben a böngésző szóvá fogja tenni az eltérést J


A tanúsítvány generálása során, ha ugyanazt az Alias-t akarjuk felhasználni, mint a jelenlegi, akkor érdemes előbb egy másik Alias-al végigjátszani a folyamatot (az a tanúsítvány úgyis el lesz dobva), majd az „éles” alias-al a helyes adatokat megadni.


Certificate maintenance: létrehozunk egy tanúsítvány aláírási kérelmet (CSR) – ekkor gyakorlatilag a meglévő tanúsítvány adatait felhasználva létrehozzuk azt a kérelmet, amely alapján a CA ki tudja majd állítani az új tanúsítványt


a kérelmet eljuttatjuk a CA-nak, pl. webes felületen (Request Certificate/Advanced Certificate Request/Submit a certificate request…), kiválasztjuk a Web Server sablont, majd a kész tanúsítvány esetén letöltjük B64 kódolással a tanúsítvány-láncot.


Import a certificate chain: betöltjük, majd aktiváljuk az előző lépésben elmentett láncot


Ugye nem is nehéz? J Amire kell figyelni: ha az OMSA harmadik pontjában található Import root certificate menüpontot akarjuk használni, akkor a CA tanúsítványát megadhatjuk neki .cer formátumban, de az „Update and proceed” gomb lenyomása után a saját tanúsítványt PKCS#7 formátumban kell megadni (tehát mint a tanúsítvány-lánc betöltésénél). Ezután szintén aktiválni kell – ez néha hibára szokott futni, de újból kell próbálni.


Ha bármit módosítani akarunk (pl. rövid névről át akarunk térni FQDN-re, majd vissza), akkor hiába van elmentve a tanúsítvány-láncunk, nem fogjuk tudni betölteni – inkább érdemes elölről kezdeni a folyamatot.


Ha egy korábbi állapotra akarunk visszatérni, akkor esetleg még a C:\Program Files (x86)\Dell\SysMgt\iws\config útvonalon található Keystore.db állomány előző mentéseivel (bak) érdemes játszani.


u.i. Ja, s még véletlenül se próbálja meg senki a 6.4-es verzióval, időnként fehér képet fog kapni a folyamat során (egy füles során megtudtam, hogy ez az OMSA-nak egy ősrégi hibája, ami hivatalosan nem elismert, de amit a 6.5-ben javítottak). A 6.5-re váltás sem jó, ha frissítéssel történik, inkább el kell távolítani a régit, s úgy feltenni az újat…


u.i.2. Ha ugyanezt az IDrac tanúsítványával akarjuk eljátszani, akkor ott egyszerűbb dolgunk van, ott ugyanis egyből a CSR-el kezdjük. De vagy kapcsoljuk be az IE9-en a kompatibilitási módot, vagy ne azzal hajtsuk végre a műveletet…


(Forrás: Asteriksz blogja)

MEGOSZTÁS

Ha tetszett a cikk, akkor nyugodtan oszd meg ismerőseiddel, valószínű ők is örülni fognak neki.