Users Guide
SSLaufeinemDomänen-Controller aktivieren
Wenn Benutzer durch den iDRAC gegen einen Active Directory-Domänen-Controller authentifiziert werden, wird eine SSL-SitzungmitdemDomänen-Controller
gestartet.DerDomänen-Controller sollte jetzt ein von der Zertifizierungsstelle (CA) signiertes Zertifikat erstellen, das Stammzertifikat, das auch in den iDRAC
geladenwird.Damit,andersausgedrückt,dieiDRAC-Authentifizierung auf einen beliebigenDomänen-Controllermöglichist- egal, ob es sich um den Stamm-
Domänen-ControlleroderdenuntergeordnetenDomänen-Controller handelt - mussdieserDomänen-Controller ein SSL-aktiviertes,vonderCAderDomäne
signiertes Zertifikat besitzen.
Wenn Sie die Microsoft Enterprise-Stamm-CAverwenden,umalleDomänen-Controller automatisch einem SSL-Zertifikatzuzuweisen,müssenSiediefolgenden
Schritteausführen,umSSLaufdeneinzelnenDomänen-Controllern zu aktivieren.
1. AktivierenSieSSLaufjedemeinzelnenDomänen-Controller, indem Sie das SSL-ZertifikatfürjedenControllerinstallieren.
a. Klicken Sie auf Start® Verwaltung® Domänensicherheitsregeln.
b. Erweitern Sie den Ordner RichtlinienöffentlicherSchlüssel, klicken Sie mit der rechten Maustaste auf Automatische Zertifikatanforderungs--
Einstellungen und klicken Sie auf Automatische Zertifikatanforderung.
c. Klicken Sie im Setup-Assistent der automatischen Zertifikatanforderung auf WeiterundwählenSieDomänen- Controller aus.
d. Klicken Sie auf Weiter und dann auf Fertigstellen.
Exportieren des CA-StammzertifikatsdesDomänen-Controllers auf den iDRAC
1. MachenSiedenDomänen-Controller ausfindig, der den Microsoft Enterprise-CA-Dienstausführt.
2. WählenSieStart® Ausführen.
3. Geben Sie MMC in das Feld Ausführen ein und klicken Sie auf OK.
4. Klicken Sie im Fenster Konsole 1 (MMC) auf Datei (oder auf Konsole auf Windows 2000-Systemen) undwählenSieSnap-Inhinzufügen/entfernen.
5. Klicken Sie im Fenster Snap-Inhinzufügen/entfernen auf Hinzufügen.
6. WählenSieimFensterEigenständigesSnap-In die Option Zertifikate aus und klicken Sie auf Hinzufügen.
7. WählenSieComputer-Konto und klicken Sie auf Weiter.
8. WählenSieLokaler Computer und klicken Sie auf Fertigstellen.
9. Klicken Sie auf OK.
10. Erweitern Sie im Fenster Konsole 1 den Ordner Zertifikate, erweitern Sie den Ordner Persönlich und klicken Sie auf den Ordner Zertifikate.
11. Machen Sie das Stamm-CA-Zertifikatausfindig,klickenSiemitderrechtenMaustastedarauf,wählenSieAlle Aufgaben aus, und klicken Sie auf
Exportieren....
12. Klicken Sie im Zertifikate exportieren-Assistenten auf WeiterundwählenSiePrivatenSchlüsselnichtexportieren aus.
13. Klicken Sie auf WeiterundwählenSieBase-64-kodiert X.509 (.cer) als Format.
14. Klicken Sie auf Weiter, um das Zertifikat in einem Verzeichnis auf dem System zu speichern.
15. Laden Sie das unter Schritt 14 gespeicherte Zertifikat zum iDRAC hoch.
Informationen zum Hochladen des Zertifikats unter Verwendung von RACADM finden Sie unter "Konfiguration des Active Directory mit erweitertem
Schema unter Verwendung der iDRAC6-Webschnittstelle" oder "Konfiguration des Active Directory mit Standardschema unter Verwendung von RACADM".
UmdasZertifikatüberdieWebschnittstellehochzuladen,siehe"Konfiguration des Active Directory mit erweitertem Schema unter Verwendung der
iDRAC6-Webschnittstelle" oder "Konfiguration des Active Directory mit Standardschema unter Verwendung der iDRAC6-Webschnittstelle".
SSL-Zertifikat der iDRAC6-Firmware importieren
Um das SSL-Zertifikat der iDRAC6-FirmwareinallevertrauenswürdigenZertifikatlistenderDomänen-Controller zu importieren, gehen Sie wie folgt vor.
ANMERKUNG: WennIhrSystemWindows2000ausführt,könnendiefolgendenSchritteabweichen.
ANMERKUNG: WennSiemiteinemunabhängigenCAarbeiten,könnendiefolgendenSchritteabweichen.
ANMERKUNG: Wenn der Active Directory-Server so eingestellt ist, dass der Client in der Initialisierungsphase einer SSL-Sitzung authentifiziert wird,
muss das iDRAC-Serverzertifikat auf den Active Directory-Domänen-Controllerhochgeladenwerden.DieserzusätzlicheSchrittistnichterforderlich,wenn
dasActiveDirectorywährendderInitialisierungsphaseeinerSSL-Sitzung keine Client-Authentifizierungausführt.