DL380 G6 iLO2: Mettre à niveau la connexion SSL

Question

DL380 G6 iLO2: Mettre à niveau la connexion SSL

Demandé el 20 de Juin, 2016: Quand la question a-t-elle été
7847 affichage: Nombre de visites la question a
4 Réponses: Nombre de réponses aux questions
Résolu: Situation réelle de la question

Je possède un HP DL380 G6 avec ILO 2.29 installé.

Maintenant, après avoir mis à jour les certificats vers un certificat signé par AD (pour se débarrasser des avertissements ennuyeux) nous sommes bloqués avec un dernier, qui n'apparaît que sur Google Chrome :

ERR_SSL_BAD_RECORD_MAC_ALERT

D'après ce que j'ai lu, il semble que Google Chrome ne soit pas très content de l'encryption SHA-1 utilisée par le système ILO2.

Y a-t-il un moyen de résoudre cela ?

Est-il possible de forcer l'ILO2 à utiliser quelque chose de mieux que SHA-1 ?

Le résumé complet du certificat est :

Certificat X509 :
Version : 3
Numéro de série : 1d0000000b85713cc29f4595d000000000000b
Algorithme de signature :
    OID de l'algorithme : 1.2.840.113549.1.1.11 sha256RSA
    Paramètres d'algorithme :
    05 00
Émetteur :
    CN=Home Inc.
    DC=home
    DC=testdomain
    DC=be
  Hachage de nom (sha1) : 6f322c596a075803d1048b64a5ad768e559a7891
  Hachage de nom (md5) : 74b4d5246bbea846ed7393ccd7292041

 Non Avant : 19/06/2016 20:36
 Non Après : 19/06/2018 20:36

Sujet :
    CN=HP-ILO
    OU=SERVEURS
    O=testdomain
    L=shoo
    S=shoo
    C=shoo
  Hachage de nom (sha1) : 9d3bc6d73e723ea22258c3c419c15ab33b09df82
  Hachage de nom (md5) : 8fdeeede036e8db383f04d6094b434d7

Algorithme de clé publique :
    OID de l'algorithme : 1.2.840.113549.1.1.1 RSA (RSA_SIGN)
    Paramètres d'algorithme :
    05 00
Longueur de clé publique : 2048 bits
Clé publique : Bits inutilisés = 0
    0000  30 82 01 0a 02 82 01 01 00 f1 35 e8 d7 dd 82 3a
    0010  c5 f5 a4 f7 0f 8d b8 bf 2b f4 72 e6 c0 c7 a2 be
    0020  c2 84 d4 6e 9a 2b 84 9c ee 2f 1a e5 46 98 4a 9d
    0030  97 cb 43 5f 96 2d ff ae 26 0c ae e0 f5 fc 89 2f
    0040  f5 ff 58 6b 0e fb 2e 0f dc 06 63 3b d4 34 da 77
    0050  a4 5b 82 8a e3 20 d3 5c b6 f8 9b f1 23 8d d4 76
    0060  f6 82 bc 3e 54 55 79 3d 19 86 00 4b 63 eb 36 d2
    0070  57 db d4 fd 04 8a 4d a6 64 82 84 f3 08 86 b3 10
    0080  e8 3a 95 67 5b b1 da 56 2c 8f 73 5f 39 ed a0 d4
    0090  8e 3b 4a 6a 01 4d ca 3d e3 54 59 74 89 43 85 af
    00a0  25 21 1a ca 58 55 2c 9d 9c a2 cb c6 05 3c c5 70
    00b0  0a 7b 72 d2 30 5d 65 34 75 53 0c 76 17 f3 f9 b2
    00c0  31 05 51 90 15 32 e5 43 0c 59 21 d2 26 c7 34 a6
    00d0  c7 4d 2e 99 4c 00 33 c3 06 05 c7 f3 f8 a0 26 ee
    00e0  3d e7 ef d7 2a 4e 02 7b 7c b8 6a 12 31 55 2f c2
    00f0  1c 81 6e 8a 5c da 50 fb 0d 20 a6 16 2d 0e d7 4a
    0100  25 b7 f5 ae e3 77 19 4a e7 02 03 01 00 01 
Extensions de certificat : 7
    2.5.29.14: Drapeaux = 0, Longueur = 16
    Identifiant de clé de sujet
        ea 28 11 0d f2 d1 31 60 90 66 01 88 b0 ac 68 e4 00 05 79 d5

    2.5.29.35: Drapeaux = 0, Longueur = 18
    Identifiant de clé d'autorité
        KeyID=39 0b 9e 8a fc fa 6d a8 13 82 b9 50 04 0c e8 72 46 67 70 bb

    2.5.29.31: Drapeaux = 0, Longueur = c9
    Points de distribution de liste de révocation
        [1]Point de distribution de liste de révocation
             Nom du point de distribution :
                  Nom complet :
                       URL=ldap:///CN=Home Inc.,CN=ad,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=home,DC=testdomain,DC=be?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:///CN=Home%20Inc.,CN=ad,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=home,DC=testdomain,DC=be?certificateRevocationList?base?objectClass=cRLDistributionPoint)

    1.3.6.1.5.5.7.1.1: Drapeaux = 0, Longueur = bd
    Accès aux informations de l'autorité
        [1]Accès aux infos de l'autorité
             Méthode d'accès = Émetteur d'autorité de certification (1.3.6.1.5.5.7.48.2)
             Nom alternatif :
                  URL=ldap:///CN=Home Inc.,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=home,DC=testdomain,DC=be?cACertificate?base?objectClass=certificationAuthority (ldap:///CN=Home%20Inc.,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=home,DC=testdomain,DC=be?cACertificate?base?objectClass=certificationAuthority)

    1.3.6.1.4.1.311.20.2: Drapeaux = 0, Longueur = 14
    Nom du modèle de certificat (Type de certificat)
        Serveur Web

    2.5.29.15: Drapeaux = 1(Critique), Longueur = 4
    Utilisation de la clé
        Signature électronique, Chiffrement de la clé (a0)

    2.5.29.37: Drapeaux = 0, Longueur = c
    Utilisation étendue de la clé
        Authentification du serveur (1.3.6.1.5.5.7.3.1)

Algorithme de signature :
    OID de l'algorithme : 1.2.840.113549.1.1.11 sha256RSA
    Paramètres de l'algorithme :
    05 00
Signature : Bits inutilisés=0
    0000  a4 4d e3 7c 8d 77 e2 1a ea e2 78 40 99 cf 3b e7
    0010  1c c9 31 a5 cc 3e a1 57 44 f7 3b ca 01 ff 04 72
    0020  09 fa 89 0d 42 35 9b 25 4e 30 a7 d5 7d b0 ff 0a
    0030  e6 29 86 87 b9 40 ba bc 7a 36 42 93 43 20 0b 8b
    0040  b6 d5 76 8b d8 80 56 52 c8 39 11 83 70 d8 de ed
    0050  f4 4f 15 5c d9 5b 36 10 af ac e1 a2 f9 0d 31 fd
    0060  ec 6e c8 83 17 1f 69 9b a4 d9 ff e5 c1 6d 80 87
    0070  a4 5e be d5 61 36 27 1e 16 c0 51 33 ed d6 b3 14
    0080  6f 1f d2 4c 36 e9 03 f8 7a 8f 35 25 2e 0a 62 0c
    0090  01 47 c2 0a c9 ff a1 af 46 67 2e c8 5a c4 c8 77
    00a0  4b b6 22 64 e3 ac 8f 4c 5e a2 f7 66 6a 6f 75 dc
    00b0  0f 26 31 5d b6 7f da aa a7 0e 5c 12 5c 75 70 d4
    00c0  9b 97 24 81 8a 26 bd 49 bf 53 5c cd a4 04 f6 5e
    00d0  29 92 ca 72 de 02 5e 0f bf 48 49 ca 24 ab df 16
    00e0  f2 a3 01 da 29 48 8b 29 34 73 6c 11 b1 38 16 ef
    00f0  47 20 f0 cc 2a 14 78 6a 74 eb 11 22 71 d6 39 6d
Certificat Non-Root
Hachage de l'ID de clé (rfc-sha1) : ea 28 11 0d f2 d1 31 60 90 66 01 88 b0 ac 68 e4 00 05 79 d5
Hachage de l'ID de clé (sha1) : 54 0d ac 87 75 0c 82 c8 2f a4 e2 fe 1d 65 5c 21 47 3f 08 f1
Hachage de l'ID de clé (md5) : e36768ce04aa7a75dedd187f9f17269a
Hachage de l'ID de clé (sha256) : cdbb7566463c725c69ddcc125544c27a4e0414203d94626fbb5b47f4875dcb6d
Hachage de certificat (md5) : 26 7c 72 b2 e1 67 57 fe 4b 0b a0 45 9f 2b 0d 25
Hachage de certificat (sha1) : c1 20 60 13 4e 54 6d 6d 3b eb f7 1e c2 6c c1 be 59 d5 2d ac
Hachage de certificat (sha256) : 7c5332ce0bb7a0f0e1bd94327e09735b007269ef7f06ff1aa734cf11f2de05fc
Hachage de signature : ae8d05c70cedce72861fb44d91b9077e3cadb12caac25bdb91279ddf160f97c1
CertUtil : -commande dump terminée avec succès.

Demandé el 20 de Juin, 2016 par Daniel Holz

0 votes

Ajout de la sortie de certificat.

Commenté el 20 de Juin, 2016 par Daniel Holz

0 votes

La signature du certificat est sha256RSA, donc c'est bon. Qu'en est-il du certificat racine (Home inc.) ? De plus, avez-vous ajouté le certificat racine au magasin d'ancrage de confiance de Chrome ?

Commenté el 20 de Juin, 2016 par nachopro

0 votes

@garethTheRed C'est via un certificat racine qui est approuvé sur la machine. Internet Explorer et Mozilla Firefox considèrent que tout est valide, sauf Chrome.

Commenté el 20 de Juin, 2016 par Daniel Holz

Afficher 2 autres commentaires

Answer 1

4 Réponses

Answer 2

4voto

Daniel Holz Points 31

Tout d'abord : le problème n'est pas lié au SHA-1.

Le problème est que iLO2 ne prend pas en charge TLS >1.0, et TLS 1.0 a été désactivé dans Chrome.

Je ne pense pas que cela puisse être résolu sans l'intervention de HP.

Répondu el 20 de Juin, 2016 par Daniel Holz (31 Points )

Answer 3

1voto

aaa Points 1

Dans les nouvelles versions de Firefox, tapez about:config dans la barre d'adresse et appuyez sur Entrée, puis cliquez sur le bouton "Je ferai attention, promis !". Tapez "tls" dans la nouvelle barre de recherche apparue et attendez que le navigateur renvoie les paramètres pour tls. Vérifiez que "security.tls.version.min" est 1 (c'est la valeur par défaut). Ensuite, vérifiez la valeur de "security.tls.version.fallback-limit". Par défaut, sa valeur est 3. Changez-la à 1, puis essayez à nouveau d'ouvrir la page web de l'ILO.

Meilleurs vœux!

Répondu el 8 de Février, 2018 par aaa (1 Points )

0 votes

C'est encore Aaa. Ces paramètres sont pour Firefox 45.9. Dans la version 58.0.2, il y a un paramètre supplémentaire - "security.tls.insecure_fallback_hosts". Ajoutez ici le nom d'hôte à partir de l'URL de l'ILO, par exemple 192.168.1.100, etc.

Commenté el 8 de Février, 2018 par aaa

Answer 4

1voto

adamkonrad Points 103

Utilisez Firefox, accédez à about:config et changez les valeurs suivantes :

security.tls.enable_0rtt_data false
security.tls.insecure_fallback_hosts 192.168.1.1    
security.tls.version.min 1

Ajustez la valeur de insecure_fallback_hosts à l'IP ou au nom d'hôte que vous devez accéder.

Répondu el 12 de Septembre, 2022 par adamkonrad (103 Points )

Answer 5

0voto

pinoyians Points 21

La solution de contournement consiste à utiliser firefox.

Répondu el 14 de Février, 2017 par pinoyians (21 Points )

0 votes

Pouvez-vous écrire plus de détails ?

Commenté el 14 de Février, 2017 par peterh

0 votes

Pourquoi cette réponse est-elle désapprouvée? Cela fonctionne avec Firefox! Merci!

Commenté el 22 de Avril, 2017 par Glader

0 votes

Parce que c'est une réponse de basse qualité. Ça ne fonctionne pas directement dans les versions actuelles de Firefox. Il génère toujours une erreur ERR_SSL_BAD_RECORD_MAC_ALERT.

Commenté el 3 de Novembre, 2017 par David McNeill

Afficher 1 autres commentaires

DL380 G6 iLO2: Mettre à niveau la connexion SSL

Réponses

Questions en vedette

Top Tags

SistemesEz.com

Powered by:

DL380 G6 iLO2: Mettre à niveau la connexion SSL

Réponses

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

Powered by: