DL380 G6 iLO2: atualização da conexão SSL

4

Eu tenho um HP DL380 G6 com o ILO 2.29 instalado.

Agora, depois de atualizar os certificados para um anúncio assinado por AD (para se livrar dos avisos incômodos), ficamos com um último, só aparecendo no Google Chrome:

ERR_SSL_BAD_RECORD_MAC_ALERT

Depois de ler mais, parece que o Google Chrome não está muito feliz com a criptografia SHA-1 que o sistema ILO2 usa.

Existe uma maneira de resolver isso?

Ou seja. posso forçar o ILO2 a usar algo melhor que o SHA-1?

O despejo completo do certificado é:

X509 Certificate:
Version: 3
Serial Number: 1d0000000b85713cc29f4595d000000000000b
Signature Algorithm:
    Algorithm ObjectId: 1.2.840.113549.1.1.11 sha256RSA
    Algorithm Parameters:
    05 00
Issuer:
    CN=Home Inc.
    DC=home
    DC=testdomain
    DC=be
  Name Hash(sha1): 6f322c596a075803d1048b64a5ad768e559a7891
  Name Hash(md5): 74b4d5246bbea846ed7393ccd7292041

 NotBefore: 6/19/2016 8:36 PM
 NotAfter: 6/19/2018 8:36 PM

Subject:
    CN=HP-ILO
    OU=SERVERS
    O=testdomain
    L=shoo
    S=shoo
    C=shoo
  Name Hash(sha1): 9d3bc6d73e723ea22258c3c419c15ab33b09df82
  Name Hash(md5): 8fdeeede036e8db383f04d6094b434d7

Public Key Algorithm:
    Algorithm ObjectId: 1.2.840.113549.1.1.1 RSA (RSA_SIGN)
    Algorithm Parameters:
    05 00
Public Key Length: 2048 bits
Public Key: UnusedBits = 0
    0000  30 82 01 0a 02 82 01 01  00 f1 35 e8 d7 dd 82 3a
    0010  c5 f5 a4 f7 0f 8d b8 bf  2b f4 72 e6 c0 c7 a2 be
    0020  c2 84 d4 6e 9a 2b 84 9c  ee 2f 1a e5 46 98 4a 9d
    0030  97 cb 43 5f 96 2d ff ae  26 0c ae e0 f5 fc 89 2f
    0040  f5 ff 58 6b 0e fb 2e 0f  dc 06 63 3b d4 34 da 77
    0050  a4 5b 82 8a e3 20 d3 5c  b6 f8 9b f1 23 8d d4 76
    0060  f6 82 bc 3e 54 55 79 3d  19 86 00 4b 63 eb 36 d2
    0070  57 db d4 fd 04 8a 4d a6  64 82 84 f3 08 86 b3 10
    0080  e8 3a 95 67 5b b1 da 56  2c 8f 73 5f 39 ed a0 d4
    0090  8e 3b 4a 6a 01 4d ca 3d  e3 54 59 74 89 43 85 af
    00a0  25 21 1a ca 58 55 2c 9d  9c a2 cb c6 05 3c c5 70
    00b0  0a 7b 72 d2 30 5d 65 34  75 53 0c 76 17 f3 f9 b2
    00c0  31 05 51 90 15 32 e5 43  0c 59 21 d2 26 c7 34 a6
    00d0  c7 4d 2e 99 4c 00 33 c3  06 05 c7 f3 f8 a0 26 ee
    00e0  3d e7 ef d7 2a 4e 02 7b  7c b8 6a 12 31 55 2f c2
    00f0  1c 81 6e 8a 5c da 50 fb  0d 20 a6 16 2d 0e d7 4a
    0100  25 b7 f5 ae e3 77 19 4a  e7 02 03 01 00 01
Certificate Extensions: 7
    2.5.29.14: Flags = 0, Length = 16
    Subject Key Identifier
        ea 28 11 0d f2 d1 31 60 90 66 01 88 b0 ac 68 e4 00 05 79 d5

    2.5.29.35: Flags = 0, Length = 18
    Authority Key Identifier
        KeyID=39 0b 9e 8a fc fa 6d a8 13 82 b9 50 04 0c e8 72 46 67 70 bb

    2.5.29.31: Flags = 0, Length = c9
    CRL Distribution Points
        [1]CRL Distribution Point
             Distribution Point Name:
                  Full Name:
                       URL=ldap:///CN=Home Inc.,CN=ad,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=home,DC=testdomain,DC=be?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:///CN=Home%20Inc.,CN=ad,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=home,DC=testdomain,DC=be?certificateRevocationList?base?objectClass=cRLDistributionPoint)

    1.3.6.1.5.5.7.1.1: Flags = 0, Length = bd
    Authority Information Access
        [1]Authority Info Access
             Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
             Alternative Name:
                  URL=ldap:///CN=Home Inc.,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=home,DC=testdomain,DC=be?cACertificate?base?objectClass=certificationAuthority (ldap:///CN=Home%20Inc.,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=home,DC=testdomain,DC=be?cACertificate?base?objectClass=certificationAuthority)

    1.3.6.1.4.1.311.20.2: Flags = 0, Length = 14
    Certificate Template Name (Certificate Type)
        WebServer

    2.5.29.15: Flags = 1(Critical), Length = 4
    Key Usage
        Digital Signature, Key Encipherment (a0)

    2.5.29.37: Flags = 0, Length = c
    Enhanced Key Usage
        Server Authentication (1.3.6.1.5.5.7.3.1)

Signature Algorithm:
    Algorithm ObjectId: 1.2.840.113549.1.1.11 sha256RSA
    Algorithm Parameters:
    05 00
Signature: UnusedBits=0
    0000  a4 4d e3 7c 8d 77 e2 1a  ea e2 78 40 99 cf 3b e7
    0010  1c c9 31 a5 cc 3e a1 57  44 f7 3b ca 01 ff 04 72
    0020  09 fa 89 0d 42 35 9b 25  4e 30 a7 d5 7d b0 ff 0a
    0030  e6 29 86 87 b9 40 ba bc  7a 36 42 93 43 20 0b 8b
    0040  b6 d5 76 8b d8 80 56 52  c8 39 11 83 70 d8 de ed
    0050  f4 4f 15 5c d9 5b 36 10  af ac e1 a2 f9 0d 31 fd
    0060  ec 6e c8 83 17 1f 69 9b  a4 d9 ff e5 c1 6d 80 87
    0070  a4 5e be d5 61 36 27 1e  16 c0 51 33 ed d6 b3 14
    0080  6f 1f d2 4c 36 e9 03 f8  7a 8f 35 25 2e 0a 62 0c
    0090  01 47 c2 0a c9 ff a1 af  46 67 2e c8 5a c4 c8 77
    00a0  4b b6 22 64 e3 ac 8f 4c  5e a2 f7 66 6a 6f 75 dc
    00b0  0f 26 31 5d b6 7f da aa  a7 0e 5c 12 5c 75 70 d4
    00c0  9b 97 24 81 8a 26 bd 49  bf 53 5c cd a4 04 f6 5e
    00d0  29 92 ca 72 de 02 5e 0f  bf 48 49 ca 24 ab df 16
    00e0  f2 a3 01 da 29 48 8b 29  34 73 6c 11 b1 38 16 ef
    00f0  47 20 f0 cc 2a 14 78 6a  74 eb 11 22 71 d6 39 6d
Non-root Certificate
Key Id Hash(rfc-sha1): ea 28 11 0d f2 d1 31 60 90 66 01 88 b0 ac 68 e4 00 05 79 d5
Key Id Hash(sha1): 54 0d ac 87 75 0c 82 c8 2f a4 e2 fe 1d 65 5c 21 47 3f 08 f1
Key Id Hash(md5): e36768ce04aa7a75dedd187f9f17269a
Key Id Hash(sha256): cdbb7566463c725c69ddcc125544c27a4e0414203d94626fbb5b47f4875dcb6d
Cert Hash(md5): 26 7c 72 b2 e1 67 57 fe 4b 0b a0 45 9f 2b 0d 25
Cert Hash(sha1): c1 20 60 13 4e 54 6d 6d 3b eb f7 1e c2 6c c1 be 59 d5 2d ac
Cert Hash(sha256): 7c5332ce0bb7a0f0e1bd94327e09735b007269ef7f06ff1aa734cf11f2de05fc
Signature Hash: ae8d05c70cedce72861fb44d91b9077e3cadb12caac25bdb91279ddf160f97c1
CertUtil: -dump command completed successfully.
    
por Snake 20.06.2016 / 08:12

3 respostas

4

Primeiro de tudo: o problema não está relacionado ao SHA-1.

A questão é que o iLO2 não suporta TLS > 1.0 e o TLS 1.0 foi desativado no Chrome.

Eu não acho que isso possa ser resolvido sem intervenção da HP.

    
por 20.06.2016 / 13:00
0

Nas versões mais recentes do Firefox, digite about: config na barra de endereço e pressione Enter, depois clique no botão "Eu terei cuidado, prometo!". Digite "tls" na nova barra de pesquisa e aguarde o navegador para retornar as configurações para tls. Verifique se "security.tls.version.min" é 1 (é o valor padrão). Em seguida, verifique o valor de "security.tls.version.fallback-limit". Por padrão, seu valor é 3. Altere-o para 1 e tente novamente para abrir a página da Web da OIT.

Felicidades!

    
por 08.02.2018 / 20:28
-1

A solução alternativa é usar o firefox.

    
por 14.02.2017 / 01:17