Users Guide
获取证书
下表列出了基于登录类型的证书类型。
表. 13: 基于登录类型的证书类型
登录类型 证书类型 获取方法
使用 Active Directory 的单点登录 可信 CA 证书 生成 CSR 并从证书颁发机构获取签名
SHA-2 证书也受支持。
本地或 Active Directory 用户的智能卡登录
• 用户证书
• 可信 CA 证书
• 用户证书 - 使用智能卡供应商提供的
卡管理软件将智能卡用户证书导出为
基于 64 位编码的文件。
• 可信 CA 证书 - 此证书由 CA 颁发。
SHA-2 证书也受支持。
Active Directory 用户登录 可信 CA 证书 此证书由 CA 颁发。
SHA-2 证书也受支持。
本地用户登录
SSL 证书 生成 CSR 并从可信 CA 获取签名
注: iDRAC 附带默认的自签名 SSL 服
务器证书。iDRAC Web 服务器、虚拟
介质和虚拟控制台使用此证书。
SHA-2 证书也受支持。
相关概念
SSL 服务器证书 页面上的 87
生成新的证书签名请求 页面上的 88
SSL 服务器证书
iDRAC 包括 web 服务器配置为使用行业标准的 SSL 安全协议通过网络来传输加密数据。提供了 SSL 加密选项以禁用弱密码。SSL 建
立在非对称加密技术基础之上,是一种广泛接受的加密技术,用于在客户端与服务器之间提供经过验证和加密的通信,防止遭到网
络上的窃听。
启用 SSL 的系统可以执行下列任务:
• 向启用 SSL 的客户端验证自身
• 允许两个系统建立加密的连接
注: 如果 SSL 加密设置为 256 位或更高,您的虚拟机环境(JVM、IcedTea)的加密设置可能需要安装 Unlimited Strength
Java Cryptography Extension 策略文件,以允许在此高加密级别下使用 vConsole 等 iDRAC 插件。有关安装策略文件的信
息,请参阅 Java 的说明文件。
iDRAC Web 服务器包含自签名的唯一 SSL 数字证书。您可以用知名证书颁发机构 (CA) 签名的证书替换默认的 SSL 证书。证书颁发
机构是一个企业实体,在信息技术行业中满足高标准的可靠筛选、标识和其他重要安全标准。CA 的示例包括 Thawte 和 VeriSign。
要启动用于获取 CA 签名证书的过程,请使用 iDRAC Web 界面或 RACADM 界面生成包含您公司信息的证书签名请求 (CSR)。然后,
将生成的 CSR 提交给 CA,例如 VeriSign 或 Thawte。CA 可以是根 CA 或中间 CA。在收到 CA 签名的 SSL 证书后,将其上载到
iDRAC。
对于管理站信任的每个 iDRAC,iDRAC 的 SSL 证书必须放在管理站的证书存储中。在管理站上安装 SSL 证书后,支持的浏览器可以
访问 iDRAC 而不会显示证书警告。
注: 通过 FQDN 访问 iDRAC Web 界面时,Mozilla Firefox 可能无法将 SSL 证书识别为受信任。要继续,请将证书添加到受信
任列表。
您也可以上载自定义的签名证书来对 SSL 证书签名,而不是依赖此功能的默认签名证书。通过将自定义签名证书导入所有管理站,
使用自定义签名证书的所有 iDRAC 都是可信的。如果在自定义 SSL 证书已在使用时上载自定义签名证书,则自定义 SSL 证书被禁
用,而使用自定义签名证书签名的一次性自动生成的 SSL 证书。您可以下载自定义签名证书(没有私钥)。您还可以删除现有的自
配置 iDRAC 87