Создание сертификата для iLO
Я хочу сгенерировать правильный сертификат для веб-консоли iLO (iLO - это механизм управления для серверов HP) с помощью letsencrypt. AFAIK нет возможности установить закрытый ключ в iLO, поэтому я создал CSR из iLO. Он содержит следующее поле:
Requested Extensions:
X509v3 Subject Alternative Name:
DNS:ilo.example.com, IP Address:192.168.1.11
Я не нашел способа исключить часть IP-адреса из CSR. Мне это не нужно, буду использовать только ilo.example.com. Теперь я выполнил команду
certbot certonly --manual --staging --preferred-challenges=dns --csr csr
, завершил проверку DNS, но получил ошибку:
An unexpected error occurred:
The request message was malformed :: Error creating new cert :: CSR contains one or more IP address fields
Please see the logfiles in /var/log/letsencrypt for more details.
AFAIK CSR подписан закрытым ключом, поэтому я не могу его редактировать. Могу ли я попросить letsencrypt игнорировать IP-адрес и выдавать сертификат только для ilo.example.com? Или есть другой способ?
Вот, пожалуйста: https://community.letsencrypt.org/t/how-to-automatic-certificate-install-on-an-hp-ilo4-management-processor / 31038
- Сгенерировать CSR
- Отправить CSR в LE
- Установить полученный сертификат
Пожалуйста, используйте моя утилита, которая занимается генерацией CSR и запросом DNS (здесь только с GoDaddy).
Утилита требует Powershell и состоит из трех скриптов, одним из которых является сам Certbot.
- Сценарий, который запрашивает у iLO создание CSR и загрузку
- Certbot запрашивает сертификат после CSR
- Утилита обновляет DNS GoDaddy для подтверждения вызова DNS
Обратите внимание, что с HPE iLO это возможно только для выполнения запроса DNS.
Сценарий, который я создал, использует API-интерфейсы HPE iLO для запроса создания CSR без IP-адреса. Это работало на двух моих серверах.
Раскрытие. Я сделал инструмент и выпустил его под лицензией MIT на GitHub
.