Générer les certificats Privé et Public

Sur les machines DELL Idrac, aucun client n’est disponible pour générer des certificats Public et Privé.
Dans le cas présent, nous allons installer un client openssl (uniquement les binaires) sur un poste Windows ou Linux.

Créer un fichier openssl-esx01.cfg
[ req ]
default_bits = 2048
default_keyfile = esx01.key
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = DNS:esx01, IP:192.168.1.10, DNS:esx01.house.cpb

[ req_distinguished_name ]
countryName = FR
stateOrProvinceName = France
localityName = PARIS
0.organizationName = house.cpb
organizationalUnitName = house.cpb
commonName = esx01.house.cpb

Ouvrir un terminal Windows
C:\>cd C:\Program Files\OpenSSL-Win64\bin

Générons la clef public via la commande suivante

• openssl req -new -nodes -out c:\tmp\esx01.csr -keyout c:\tmp\esx01-tmp.key -config openssl-esx01.cfg

C:\Program Files\OpenSSL-Win64\bin>openssl req -new -nodes -out c:\tmp\esx01.csr -keyout c:\tmp\esx01-tmp.key -config c:\tmp\openssl-esx01.cfg

Générons la clef privé via la commande suivante

• openssl rsa -in c:\tmp\mrf-esx01-tmp.key -out c:\tmp\esx01.key

C:\Program Files\OpenSSL-Win64\bin>openssl rsa -in c:\tmp\esx01-tmp.key -out c:\tmp\esx01.key

Le fichier esx01-tmp.key est à supprimer.

Nous avons une Clef publique et une clef privée

• esx01.csr : Clef Publique
• esx01.key : Clef Privée

Faire certifier votre certificat par votre autorité , ou alors auto signé celui-ci vous-même.

C:\Program Files\OpenSSL-Win64\bin>openssl x509 -req -days 365 -in c:\tmp\esx01.csr -signkey c:\tmp\esx01.key -out esx01-idrac.cer

Upload des Clertificats sur la machine iDRAC

A présent, il faut uploader les deux certificats sur la machine iDRAC

• Clef Privé : esx01.key
• Clef Signé : esx01-idrac.cer (Signé par votre autorité)

Pour faire l’Upload des certificats dans les iDRAC , il faut utiliser le logiciel Racadm.

• https://www.dell.com/support/home/fr-fr/drivers/driversdetails?driverid=9dd9y

Chargement des certificats Privé (Terminal mode Administrateur)

C:\Program Files\Dell\SysMgt\rac5>racadm -r esx01.house.cpb -u admin -p XXXXX sslkeyupload -t 1 -f C:\tmp\CertificatsMRF\iDRAC_ESX01\esx01.key

Chargement des certificats Autosignés par l’autorité (Terminal mode Administrateur)

C:\Program Files\Dell\SysMgt\rac5>racadm -r esx01.house.cpb -u admin -p XXXXXX sslcertupload -t 1 -f C:\tmp\CertificatsMRF\iDRAC_ESX01\Autorite\esx01-idrac.cer

Réinitialiser l’iDRAC pour prendre en compte le certificat

C:\Program Files\Dell\SysMgt\rac5>racadm -r esx01.house.cpb -u admin -p XXXX racreset

Views: 19

L’article MODOP – Générer des certificats SSL – Hôte Idrac DELL est apparu en premier sur CoffeeBreak Info.

Se connecter en ssh sur cette machine

Installation Apache

root@deb01:/home/cp219538# apt-get update && apt-get upgrade
root@deb01:/home/cp219538# apt-get -y install apache2

Test si Apache est fonctionnel => http://192.168.1.138/

Pour le test Site + SSL nous allons ajouter notre Machine dans le Hosts de notre PC de DEV afin de simuler la résolution DNS.

Deb01.house.cpb => http://192.168.1.138/

Il faut se rendre sur => C:\Windows\System32\drivers\etc\hosts (en mode administrateur)

Test de la résolution
http://deb01.house.cpb

Fichier de conf Apache

root@deb01:/home/cp219538# cd /etc/apache2/

Création du fichier de conf site deb01.house.cpb

root@deb01:/etc/apache2# cd sites-available/

root@deb01:/etc/apache2/sites-available# vi deb01.conf
<Virtualhost *:80>
 ServerName deb01.house.cpb
 DocumentRoot /var/www/deb01
</Virtualhost>

Création du répertoire des pages site

root@deb01:/etc/apache2/sites-available# mkdir -p /var/www/deb01
root@deb01:/etc/apache2/sites-available# echo "<h2> Site deb01.house.cpb </h2>" > /var/www/deb01/index.html

Activer le site OneLine

root@deb01:/etc/apache2/sites-available# a2ensite deb01.conf
Enabling site deb01.
To activate the new configuration, you need to run:
 systemctl reload apache2

root@deb01:/etc/apache2/sites-available# systemctl reload apache2

Installation des certificats (Let’s Encrypt SSL)
Il faut pour cela posséder un nom de domaine chez un register , dans mon cas en-images.info

Ajouter dans votre Zone DNS une entrée A ou CNAME deb01.en-images.info

root@deb01:/home/cp219538# dig en-images.info dig01.en-images.info A

root@deb01:/etc/apache2/sites-available# apt -y install certbot
root@deb01:/etc/apache2/sites-available# certbot -d deb01.en-images.info certonly --manual --preferred-challenge dns

Ajouter dans votre zone DNS une entrée TXT « _acme-challenge.deb01.en-images.info» avec la KEY « TKg7ZPjDBZGk-xaoZqKUFRt_hobUt3qouh1uJC9uUro»

Attendre la propagation de l’entrée TXT.

Pour le test de la zone et connaître si l’entrée TXT est OK

root@deb01:/home/cp219538# dig en-images.info _acme-challenge.deb01.en-images.info TXT

Quand l’entrée est OK appuyer sur « Enter » lors du message « Press Enter to Continue » de la commande certobot.

Les certificats sont désormais disponible sur «/etc/letsencrypt/live/deb01.en-images.info/ »

• Cert.pem => le certificat
• Privkey.pem => la key privée

Création du site conf 002-deb01-ssl.conf

root@deb01:/home# vi /etc/apache2/site-available/002-deb01.conf
<Virtualhost *:443>
 ServerName deb01.en-images.info
 DocumentRoot /var/root/deb01ssl
 SSLEngine on
 SSLCertificateFile /etc/apache2/certs/deb01.crt
 SSLCertificateKeyFile /etc/apache2/certs/deb01.key
</Virtualhost>

Configuration du site SSL

root@deb01:/home# mkdir /etc/apache2/certs/
root@deb01:/home# cp /etc/letsencrypt/live/deb01.en-images.info/cert.pem /etc/apache2/certs/deb01.crt
root@deb01:/home# cp /etc/letsencrypt/live/deb01.en-images.info/privkey.pem /etc/apache2/certs/deb01.key

root@deb01:/home# a2enmod ssl

root@deb01:/home# a2enmod rewrite

root@deb01:/etc/apache2/sites-available# a2ensite 002-deb01.conf

root@deb01:/etc/apache2/sites-available# mkdir -p /var/www/deb01ssl
root@deb01:/etc/apache2/sites-available# echo "<h2> Site SSL - deb01.house.cpb </h2>" > /var/www/deb01ssl/index.html

root@deb01:/etc/apache2/sites-available# systemctl reload apache2

Règles Firewall

root@deb01:/etc/apache2/sites-available# iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Si vous êtes derrière une box Internet, il faut faire une règle NAT pour transférer les requêtes http 443 vers votre machine deb01.

Sur une box Orange

https://deb01.en-images.info

Views: 14

L’article MODOP – Installation Site Apache Virtual Host + SSL est apparu en premier sur CoffeeBreak Info.