13
Wie installiere ich ein öffentliches Wildcard-SSL-Zertifikat auf einem Fujitsu TX1320M4 iRMC (ipmi)?
Hallo,
ich habe hier einen einzelnen Fujitsu TX1320M4 in einer Testumgebung.
Da ich für die Domäne ein Wildcard-SSL-Zertifikat habe, würde ich das gerne für das Webinterface des iRMC verwenden.
Das Zertifikat ist für *.firma.de
Ich habe die Dateien firma.crt, firma.key, firma.pem und firma.ca.
Die Dateien beginnen mit "-----BEGIN CERTIFICATE-----" und "-----BEGIN PRIVATE KEY-----".
Ich klicke unter Tools, Certificates auf Load From File und wähle die crt und key aus.
Dann fragt er mich auf ich den iRMC neu starten möchte.
Wenn ich dies abbreche zeigt er mit das neue Zertifikat richtig an.
Wenn ich dann den Server komplett neustarte oder auf "Reboot Firmware" klicke ist wieder das alte Zertifikat drin.
Im Log steht keine Fehlermeldung oder hilfreiche Information.
Da steht nur, dass ich ein Zertifikat installiert habe,
Hat da Jemand einen Tipp für mich?
Danke
Stefan
ich habe hier einen einzelnen Fujitsu TX1320M4 in einer Testumgebung.
Da ich für die Domäne ein Wildcard-SSL-Zertifikat habe, würde ich das gerne für das Webinterface des iRMC verwenden.
Das Zertifikat ist für *.firma.de
Ich habe die Dateien firma.crt, firma.key, firma.pem und firma.ca.
Die Dateien beginnen mit "-----BEGIN CERTIFICATE-----" und "-----BEGIN PRIVATE KEY-----".
Ich klicke unter Tools, Certificates auf Load From File und wähle die crt und key aus.
Dann fragt er mich auf ich den iRMC neu starten möchte.
Wenn ich dies abbreche zeigt er mit das neue Zertifikat richtig an.
Wenn ich dann den Server komplett neustarte oder auf "Reboot Firmware" klicke ist wieder das alte Zertifikat drin.
Im Log steht keine Fehlermeldung oder hilfreiche Information.
Da steht nur, dass ich ein Zertifikat installiert habe,
Hat da Jemand einen Tipp für mich?
Danke
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 502263
Url: https://administrator.de/contentid/502263
Printed on: April 25, 2024 at 04:04 o'clock
13 Comments
Latest comment
Hi,
da ich das selbst vor kurzem gemacht habe, das irmc muss definitiv neugestartet werden, der eigentliche Server ist davon natürlich unberührt.
Das irmc bietet ja die Möglichkeit selbst ein self signed cert zu generieren und einzurichten. Hast du schon versucht ob das klappt?
Die Firmware vom irmc selbst ist aktuell?
Grüße
da ich das selbst vor kurzem gemacht habe, das irmc muss definitiv neugestartet werden, der eigentliche Server ist davon natürlich unberührt.
Das irmc bietet ja die Möglichkeit selbst ein self signed cert zu generieren und einzurichten. Hast du schon versucht ob das klappt?
Die Firmware vom irmc selbst ist aktuell?
Grüße
Zitat von @Bitboy:
da ich das selbst vor kurzem gemacht habe, das irmc muss definitiv neugestartet werden, der eigentliche Server ist davon natürlich unberührt.
sida ich das selbst vor kurzem gemacht habe, das irmc muss definitiv neugestartet werden, der eigentliche Server ist davon natürlich unberührt.
Aber danach ist wieder das ursprungszertifikat drin.
Entweder vergisst er das zu speichern oder er verwirft es weil es ihm "nicht gefällt". Aber er sagt nichts dazu.
Das irmc bietet ja die Möglichkeit selbst ein self signed cert zu generieren und einzurichten. Hast du schon versucht ob das klappt?
das gehtDie Firmware vom irmc selbst ist aktuell?
Ja
Da er das self signed speichert bleibt wohl nur das dass wildcard nicht akzeptiert wird.
Kannst du die gegenprobe mit einem non-wildcard machen?
Kannst du die gegenprobe mit einem non-wildcard machen?
müßte ich kaufen 
Ne musste nicht, erstell dir einfach ein Wildcard an einer Domain CA und ein normales und probiere es damit, dann sieht man es.
Es kann bei den Zertifikaten aber auch sein, dass du die gesamte Zertifikatskette zusammenbauen musst, ich hab da so böse Erinnerungen an die Einrichtung unseres Webex Servers ... :| Da musste man sich das auch alles in der korrekten Reihenfolge in einer Textdatei zusammenkopieren damit alle Infos in einer CER Datei vorhanden sind.
Es kann bei den Zertifikaten aber auch sein, dass du die gesamte Zertifikatskette zusammenbauen musst, ich hab da so böse Erinnerungen an die Einrichtung unseres Webex Servers ... :| Da musste man sich das auch alles in der korrekten Reihenfolge in einer Textdatei zusammenkopieren damit alle Infos in einer CER Datei vorhanden sind.
Zitat von @clSchak:
Ne musste nicht, erstell dir einfach ein Wildcard an einer Domain CA und ein normales und probiere es damit, dann sieht man es.
Geht auch nichtNe musste nicht, erstell dir einfach ein Wildcard an einer Domain CA und ein normales und probiere es damit, dann sieht man es.
Es kann bei den Zertifikaten aber auch sein, dass du die gesamte Zertifikatskette zusammenbauen musst, ich hab da so böse Erinnerungen an die Einrichtung unseres Webex Servers ... :| Da musste man sich das auch alles in der korrekten Reihenfolge in einer Textdatei zusammenkopieren damit alle Infos in einer CER Datei vorhanden sind.
Habe ich eh gemacht. Eine DEM-Datei.Info: Ein Ticket bei Fujitsu habe ich eh aufgemacht.
Wenn ich ein Zertifikat im iRMC generiere (selbst erzeugt) wird dies sofort als Zertifikat angezeigt und auch vom Browser verwendet.
Wenn ich mein Zertifikat im iRMC importiere, wird dies sofort als Zertifikat anzeigt und nichtvom Browser verwendet.
Bedeutet für mich folgendes:
1. Er kann das Zertifikat fehlerfrei lesen sonst könnte er es nicht anzeigen
2. Nach dem Einlesen versucht er dies in seinem Webserver zu aktivieren und das schlägt fehl.
Deshalb das alte/Standard-Zertifikat. Eine Art Fallback.
Ich schaue mal ob ich ein Protokoll finde wo steht was ihm nicht gefällt.
Stefan
Vergleiche mal die erweiterten Zertifikatseigenschaften deines und denen des selbst generierten Zertifikats, vor allem der Hash-Algorithmus (Könnte ja sein das hier nur bestimmte akzeptiert werden z.B. nur ältere mit unsicherem SHA1) und vorhandensein der SANs.
Auch mal versuchen die "Zertifikatskette" also Zertifikat und deren Parent-CAs zu importieren.
Außerdem versuche es mal mit einem selbst signierten Nicht-Wildcard-Zertifikat.
Auch mal versuchen die "Zertifikatskette" also Zertifikat und deren Parent-CAs zu importieren.
Außerdem versuche es mal mit einem selbst signierten Nicht-Wildcard-Zertifikat.
Es kann natürlich sein das der diverse Einträge fordert, vergleiche doch mal die beiden Zertifikate miteinander, das vom Server und dein Wildcard, evtl. mag die Fujitsu Kiste einfach kein * im CN und / oder Alternative Name.
Die CA-Chain hast du auch hochgeladen?
Guten Abend Stefan,
Gruß,
Dani
Ich habe die Dateien firma.crt, firma.key, firma.pem und firma.ca.
- Liegen die Dateien firma.crt und firma.ca im BASE64 Format vor?
- Liegt die Datei firma.key im BASE64 Format vor und ohne Keyphrase?
Gruß,
Dani
Zitat von @Dani:
Guten Abend Stefan,
Guten Abend Stefan,
Ich habe die Dateien firma.crt, firma.key, firma.pem und firma.ca.
* Liegen die Dateien firma.crt und firma.ca im BASE64 Format vor?- Liegt die Datei firma.key im BASE64 Format vor und ohne Keyphrase?
firma.crt
-----BEGIN CERTIFICATE-----
MIIGkjCCBXqgAwIBAgIQYPRya/tzKzlrf67JiD3xNTANBgkqhkiG9w0BAQsFADCB
.....
-----END CERTIFICATE-----firma.key
-----BEGIN PRIVATE KEY-----
MIIEwAIBADANBgkqhkiG9w0BAQEFAASCBKowggSmAgEAAoIBAQCvQ6kOHRLLmH9L
.....
-----END PRIVATE KEY-----firma.key ohne Kennwort
Wenn ich danach nicht neustarte zeigt er die Informationen des Zertifikates korrekt an.
Das Format selber muss also ok sein.
Er wendet es nur schlicht nicht an.
Dafür gibt es kein Feld.
Nur crt und key sind erlaubt.
Ich habe statt crt auch mal das pem verwendet (crt+ca).
Das gleiche Ergebniss.
Stefan
Nur crt und key sind erlaubt.
Ich habe statt crt auch mal das pem verwendet (crt+ca).
Das gleiche Ergebniss.
Stefan
Moin,
sieht auf den ersten Blick eigentlich korrekt aus. Ich kann dir sagen, grundsätzlich haben wir keine Problem mit SSL Wildcard Zertifikaten und iRMC4 von Fujitsu.
Fünf Fragen noch hinterher:
Gruß,
Dani
sieht auf den ersten Blick eigentlich korrekt aus. Ich kann dir sagen, grundsätzlich haben wir keine Problem mit SSL Wildcard Zertifikaten und iRMC4 von Fujitsu.
Fünf Fragen noch hinterher:
- Dein firma.ca ist ebenfalls korrekt als BASE64 formatiert?
- Lädst du zuerst das Zertifikat hoch oder/und das Stammzertifikat (firma.ca)?
- Ich vermute, du hast eine PFX-Datei und hast daraus mit Hilfe von OpenSSL die entsprechende Informationen extrahiert. Gab es dabei Warnungen oder Probleme?
- Das iRMC ist auf der aktuellsten Version?
- Welche Browser nutzt du?
Gruß,
Dani
