Kezdőoldal > General, PKI, Windows Server > Dell OMSA & Enterprise CA

Dell OMSA & Enterprise CA


Az új szerverek kapcsán felmerült bennem, hogy az OMSA tanúsítványa ne a Dell által generált, önaláírt tanúsítvány legyen, hanem a hálózatunkban is használt Enterprise CA által kiállított.

Alapértelmezésben nem tűnik nagy kunsztnak, de a végrehajtás során folyamatosan hibába ütköztem:

ERROR! Import of OMSA.cer failed. Try again.

Mikor már az agyam darabokban hevert, akkor kértem a Dell support segítségét. Kiderült, hogy nekik sem sikerül elsőre, így hosszas nyomozás következett, aminek a végeredményeképpen végül sikerült megetetni a tanúsítványt az OMSA-val.

Szóval akkor következzen a menet:

       Generate a new certificate: létrehozunk egy másik önaláírt tanúsítványt, olyan adatokkal, amelyet mi szeretnénk (pl. Alias: Omsa, CN=szervernév) – úgy tűnik, ezt a lépés, bármennyire ésszerűtlen, szükséges. Amire érdemes figyelni: alapból az OMSA telepítő az asztalra kitesz egy parancsikont, amely a szerver Netbios-nevével tölti be az OMSA-t. Ha ez megfelel, akkor értelemszerűen a CN is ez a rövid név legyen – ha nem, akkor a CN-be olyan értéket írjunk, amelyet a böngésző sorában fogunk használni az OMSA-ra való hivatkozáskor – ellenkező esetben a böngésző szóvá fogja tenni az eltérést J

A tanúsítvány generálása során, ha ugyanazt az Alias-t akarjuk felhasználni, mint a jelenlegi, akkor érdemes előbb egy másik Alias-al végigjátszani a folyamatot (az a tanúsítvány úgyis el lesz dobva), majd az „éles” alias-al a helyes adatokat megadni.

       Certificate maintenance: létrehozunk egy tanúsítvány aláírási kérelmet (CSR) – ekkor gyakorlatilag a meglévő tanúsítvány adatait felhasználva létrehozzuk azt a kérelmet, amely alapján a CA ki tudja majd állítani az új tanúsítványt

       a kérelmet eljuttatjuk a CA-nak, pl. webes felületen (Request Certificate/Advanced Certificate Request/Submit a certificate request…), kiválasztjuk a Web Server sablont, majd a kész tanúsítvány esetén letöltjük B64 kódolással a tanúsítvány-láncot.

       Import a certificate chain: betöltjük, majd aktiváljuk az előző lépésben elmentett láncot

Ugye nem is nehéz? J Amire kell figyelni: ha az OMSA harmadik pontjában található Import root certificate menüpontot akarjuk használni, akkor a CA tanúsítványát megadhatjuk neki .cer formátumban, de az „Update and proceed” gomb lenyomása után a saját tanúsítványt PKCS#7 formátumban kell megadni (tehát mint a tanúsítvány-lánc betöltésénél). Ezután szintén aktiválni kell – ez néha hibára szokott futni, de újból kell próbálni.

Ha bármit módosítani akarunk (pl. rövid névről át akarunk térni FQDN-re, majd vissza), akkor hiába van elmentve a tanúsítvány-láncunk, nem fogjuk tudni betölteni – inkább érdemes elölről kezdeni a folyamatot.

Ha egy korábbi állapotra akarunk visszatérni, akkor esetleg még a C:\Program Files (x86)\Dell\SysMgt\iws\config útvonalon található Keystore.db állomány előző mentéseivel (bak) érdemes játszani.

u.i. Ja, s még véletlenül se próbálja meg senki a 6.4-es verzióval, időnként fehér képet fog kapni a folyamat során (egy füles során megtudtam, hogy ez az OMSA-nak egy ősrégi hibája, ami hivatalosan nem elismert, de amit a 6.5-ben javítottak). A 6.5-re váltás sem jó, ha frissítéssel történik, inkább el kell távolítani a régit, s úgy feltenni az újat…

u.i.2. Ha ugyanezt az IDrac tanúsítványával akarjuk eljátszani, akkor ott egyszerűbb dolgunk van, ott ugyanis egyből a CSR-el kezdjük. De vagy kapcsoljuk be az IE9-en a kompatibilitási módot, vagy ne azzal hajtsuk végre a műveletet…

Advertisements
Kategóriák:General, PKI, Windows Server
  1. Még nincs hozzászólás.
  1. augusztus 9, 2011 - 8:15 de.
  2. május 6, 2013 - 10:35 du.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s

%d blogger ezt kedveli: