Найти в Дзене
Лаборатория сисадмина
7510 подписчиков

Устанавливаем SSL сертификат на NetBotz Rack Monitor 250

44
3 мин
Это жесть. Звезда в шоке. Народ, я много разных железок встречал, но NetBotz Rack Monitor 250 — самая дебильная из всех в плане установки SSL сертификата. Разработчикам железа и документации к нему нужно нарисовать большой минус в трудовую книжку. Со мной солидарны мои коллеги из других стран: I'll start by saying that I am disappointed in APC/Schneider for the inexcusably poor documentation on this subject. Whoever 'wrote' and signed off the 3/2021 NetBotz 250 User Guide should hang their collective heads in shame. You are supposedly professionals developing premium product, so please put more effort into the documentation. NetBotz Rack Monitor 250 Наша задача — установить корпоративный сертификат. Всякие PCI DSS и прочие политики информационной безопасности диктуют свои правила эксплуатации. Я бы самоподписанный сертификат оставил, но по правилам не могу. Самоподписанный сертификат устанавливается просто, удаляем все сертификаты и железка генерирует собственный серт. Итак, будем став
Оглавление

Это жесть. Звезда в шоке. Народ, я много разных железок встречал, но NetBotz Rack Monitor 250 — самая дебильная из всех в плане установки SSL сертификата. Разработчикам железа и документации к нему нужно нарисовать большой минус в трудовую книжку. Со мной солидарны мои коллеги из других стран:

I'll start by saying that I am disappointed in APC/Schneider for the inexcusably poor documentation on this subject. Whoever 'wrote' and signed off the 3/2021 NetBotz 250 User Guide should hang their collective heads in shame. You are supposedly professionals developing premium product, so please put more effort into the documentation.

NetBotz Rack Monitor 250

Наша задача — установить корпоративный сертификат. Всякие PCI DSS и прочие политики информационной безопасности диктуют свои правила эксплуатации. Я бы самоподписанный сертификат оставил, но по правилам не могу. Самоподписанный сертификат устанавливается просто, удаляем все сертификаты и железка генерирует собственный серт. Итак, будем ставить корпоративный SSL сертификат.

Подготовка к установке сертификата

Прежде чем устанавливать сертификат, нужно немного размяться. Нам понадобится специальная утилита под винду, которую в документации называют Security Wizard, но на самом деле она называется NMCSecurityWizardCLI. Достать утилиту можно на сайте производителя, однако есть две проблемы:

  1. Производитель закрыл доступ к сайту для России
  2. На сайте выложена утилита NMCSecurityWizardCLI версии 1.0.1, она нерабочая.

Первая проблема обходится с помощью VPN. Вторая проблема обходится использованием утилиты NMCSecurityWizardCLI версии 1.0.0, вот только достать её сложно, но можно. Я скачал и разместил её в своей "Сборке для системного администратора":

Сборки программ

Качаем и распаковываем:

-2

Все операции с утилитой будем выполнять в командной строке под администратором.

-3

Утилиту подготовили, приступаем к генерации сертификата.

Генерация SSL сертификата

Повторю: используем NMCSecurityWizardCLI версии 1.0.0.

Для начала нужно сгенерировать SCR запрос и приватный ключ.

NMCSecurityWizardCLI.exe --csr -o psp-skud00 -n psp-skud00.ilo.psp.local -c RU -m "MOSCOW" -l "MOSCOW" -g "PSP" -u "IT" -e admin@psp.local -i https://psp-skud00.ilo.psp.local -d psp-skud00.ilo.psp.local -a 10.24.51.18 -k 2048
  • -o — имя файла без расширения для запроса и ключа
  • -n — CN
  • -с — страна
  • -m — регион
  • -l — город
  • -g — организация
  • -u — отдел
  • -e — email
  • -i — HTTPS ссылка
  • -d — доменное имя устройства, у меня домен четвёртого уровня
  • -a — альтернативный атрибут, IP адрес
  • -k — длина ключа, можно 1024 и 2048
-4

Утилита генерирует два файла:

  • CSR — запрос сертификата для центра сертификации
  • P15 — ключ
-5

Берём CSR и подписываем его в корпоративном центре сертификации. Открываем центр сертификации.

-6

Request a certificate.

-7

Advanced certificate request.

-8

Вставляем содержимое CSR файла. Выбираем шаблон. Вот здесь я сделал ошибку, нужно использовать классический шаблон Web Server. Мой шаблон почему-то не подошёл.

Submit.

-9

Выбираем Base 64 encoded и скачиваем подписанный сертификат.

-10

Сохраняем его как CER файл. Имя такое же как у CSR файла.

Теперь нам нужно слепить ключ и сертификат в один PKCS#15 файл.

NMCSecurityWizardCLI.exe --import -o psp-skud00_p15cert -s psp-skud00.cer -p psp-skud00
  • -o — имя генерируемого файла без расширения
  • -s — имя сертификата с расширением
  • -p — имя ключа без расширения
-11

Получаем нужный нам файл:

  • psp-skud00_p15cert.p15

Утилита генерирует ему такое же расширение как у ключа P15, поэтому имя нужно задавать отличное от имени ключа.

-12

Загрузка SSL сертификата

Полученный файл загружаем в UI. Configuration → Network → Web → SSL Certificate.

-13

Add or Replace, выбираем файл.

-14

Apply. Файл загружается. Статус Loading certificate...

-15

Ждём минуту и пытаемся войти по HTTPS.

-16

Если сертификат подошёл, то он будет применён.

-17

Перезагружаем интерфейс управления. Статус меняется на Valid certificate.

Примечания и грабли

Schneider Electric закрыла доступ к своему сайту для России. Понадобится VPN.

NMCSecurityWizardCLI версии 1.0.1 выдаёт ошибку, нужно использовать NMCSecurityWizardCLI версии 1.0.0.

-18

Нужно использовать классический шаблон Web Server при подписывании сертификата.

Если сертификат по каки-то причинам системе не понравился, то она сгенерирует новый самоподписанный сертификат:

SSL Error: Invalid certificate.
SSL: Certificate generation started.
SSL: Certificate generation complete.
-19

В этом случае нужно сделать перекур и заново сгенерировать сертификат, уже без ошибок.

Ссылки

https://community.se.com/t5/EcoStruxure-IT-forum/How-do-I-replace-the-NetBotz-250-self-signed-SSL-Certificate/m-p/357576

Источник:

internet-lab.ru
NetBotz Rack Monitor 250 — установка SSL сертификата | internet-lab.ru

💰 Поддержать проект

Если вам понравилась статья, то ставьте 👍🏻 каналу.
Пишите комментарии, задавайте вопросы, подписывайтесь.

2