Перейти к основному содержанию

NetBotz Rack Monitor 250 — установка SSL сертификата

NetBotz Rack Monitor 250

Это жесть. Звезда в шоке. Народ, я много разных железок встречал, но NetBotz Rack Monitor 250 — самая дебильная из всех в плане установки SSL сертификата. Разработчикам железа и документации к нему нужно нарисовать большой минус в трудовую книжку. Со мной солидарны мои коллеги из других стран:

I'll start by saying that I am disappointed in APC/Schneider for the inexcusably poor documentation on this subject. Whoever 'wrote' and signed off the 3/2021 NetBotz 250 User Guide should hang their collective heads in shame. You are supposedly professionals developing premium product, so please put more effort into the documentation.

NetBotz Rack Monitor 250

Наша задача — установить корпоративный сертификат. Всякие PCI DSS и прочие политики информационной безопасности диктуют свои правила эксплуатации. Я бы самоподписанный сертификат оставил, но по правилам не могу. Самоподписанный сертификат устанавливается просто, удаляем все сертификаты и железка генерирует собственный серт. Итак, будем ставить корпоративный SSL сертификат.

Подготовка к установке сертификата

Прежде чем устанавливать сертификат, нужно немного размяться. Нам понадобится специальная утилита под винду, которую в документации называют Security Wizard, но на самом деле она называется NMCSecurityWizardCLI. Достать утилиту можно на сайте производителя, однако есть две проблемы:

  1. Производитель закрыл доступ к сайту для России
  2. На сайте выложена утилита NMCSecurityWizardCLI версии 1.0.1, она нерабочая.

Первая проблема обходится с помощью VPN. Вторая проблема обходится использованием утилиты NMCSecurityWizardCLI версии 1.0.0, вот только достать её сложно, но можно. Я скачал и разместил её в своей "Сборке для системного администратора":

Сборки программ

Качаем и распаковываем:

ssl

Все операции с утилитой будем выполнять в командной строке под администратором.

ssl

Утилиту подготовили, приступаем к генерации сертификата.

Генерация SSL сертификата

Повторю: используем NMCSecurityWizardCLI версии 1.0.0.

Для начала нужно сгенерировать SCR запрос и приватный ключ.

NMCSecurityWizardCLI.exe --csr -o psp-skud00 -n psp-skud00.ilo.psp.local -c RU -m "MOSCOW" -l "MOSCOW" -g "PSP" -u "IT" -e admin@psp.local -i https://psp-skud00.ilo.psp.local -d psp-skud00.ilo.psp.local -a 10.24.51.18 -k 2048
  • -o — имя файла без расширения для запроса и ключа
  • -n — CN
  • -с — страна
  • -m — регион
  • -l — город
  • -g — организация
  • -u — отдел
  • -e — email
  • -i — HTTPS ссылка
  • -d — доменное имя устройства, у меня домен четвёртого уровня
  • -a — альтернативный атрибут, IP адрес
  • -k — длина ключа, можно 1024 и 2048

ssl

Утилита генерирует два файла:

  • CSR — запрос сертификата для центра сертификации
  • P15 — ключ

ssl

Берём CSR и подписываем его в корпоративном центре сертификации. Открываем центр сертификации.

ssl

Request a certificate.

ssl

Advanced certificate request.

ssl

Вставляем содержимое CSR файла. Выбираем шаблон. Вот здесь я сделал ошибку, нужно использовать классический шаблон Web Server. Мой шаблон почему-то не подошёл.

Submit.

ssl

Выбираем Base 64 encoded и скачиваем подписанный сертификат.

ssl

Сохраняем его как CER файл. Имя такое же как у CSR файла.

Теперь нам нужно слепить ключ и сертификат в один PKCS#15 файл.

NMCSecurityWizardCLI.exe --import -o psp-skud00_p15cert -s psp-skud00.cer -p psp-skud00
  • -o — имя генерируемого файла без расширения
  • -s — имя сертификата с расширением
  • -p — имя ключа без расширения

ssl

Получаем нужный нам файл:

  • psp-skud00_p15cert.p15

Утилита генерирует ему такое же расширение как у ключа P15, поэтому имя нужно задавать отличное от имени ключа.

ssl

Загрузка SSL сертификата

Полученный файл загружаем в UI. Configuration → Network → Web → SSL Certificate.

ssl

Add or Replace, выбираем файл.

ssl

Apply. Файл загружается. Статус Loading certificate...

ssl

Ждём минуту и пытаемся войти по HTTPS.

ssl

Если сертификат подошёл, то он будет применён.

ssl

Перезагружаем интерфейс управления. Статус меняется на Valid certificate.

    Примечания и грабли

    Schneider Electric закрыла доступ к своему сайту для России. Понадобится VPN.

    NMCSecurityWizardCLI версии 1.0.1 выдаёт ошибку, нужно использовать NMCSecurityWizardCLI версии 1.0.0.

    ssl

    Нужно использовать классический шаблон Web Server при подписывании сертификата.

    Если сертификат по каки-то причинам системе не понравился, то она сгенерирует новый самоподписанный сертификат:

    SSL Error: Invalid certificate.
    SSL: Certificate generation started.
    SSL: Certificate generation complete.

    ssl

    В этом случае нужно сделать перекур и заново сгенерировать сертификат, уже без ошибок.

    Ссылки

    https://community.se.com/t5/EcoStruxure-IT-forum/How-do-I-replace-the-NetBotz-250-self-signed-SSL-Certificate/m-p/357576

    Теги

     

    Похожие материалы

    APC Rack ATS AP44XX — сбой сертификатов после настройки NTP

    Настраивал стоечный автоматический переключатель нагрузки APC Rack ATS AP4423A и поймал проблему, с которой уже сталкивался раньше. Тогда я посчитал, что это разовый сбой, но, как показала практика, проблема актуальная для всей линейки APC Rack ATS AP44XX и NetBotz Rack Monitor.

    Теги

    APC Rack ATS AP4423 — стоечный автоматический переключатель нагрузки

    Автомат ввода резерва для монтажа в стойку (Rack Automatic Transfer Switch — Rack ATS) компании APC обеспечивает надежное избыточное питание для оборудования с одним источником электропитания.

    Теги