Hp ilo ssl wildcard certificate
While I’ve not done this for my iLO units, It’s not just the certificate you need to import, but also the private key and certificate chain. As a rule, moving the private key around is bad security practice.
I run my own internal CA anyway (for wireless authentication), so signing certificates for my internal equipment, and trusting my internal CA, was more than adequate.
§
§
I’m not a CISO, I never have been and hope I never will be. It seems like a lot of hard work and stress, and if you’re the CISO at a company when you suffer a breach it’s difficult to blame the intern without a mob of security professionals criticising you.
But I do observe CISO’s very closely, and as a result I have figured out how to be an awesome CISO.
Now, before you object, hear me out. David Attenborough isn’t a whale, or a penguin, or a hippo. But he’s observed these animals in the wild for many years and so when his soothing vocals accompany a nature documentary, you sit there and listen to his every word. He is an expert on all forms of animals without having been an animal himself.
Similarly, you can think of me as the David Attenborough of cyber security – observing CISOs in their natural habitat.
Risk Appetite
Make everything about risk appetite. The beauty of this is that you can always shift the responsibility to the business whenever there’s a tough decision to be made. A third party playing hardball but you don’t want to be the bad CISO in case you miss out on the golf day they have every year. Simply say it’s not within the company’s risk appetite and glance over at the business owner.
When in doubt scribble a diagram on the whiteboard to show how they are outside of the organisations risk appetite.

Amber all the way
While metrics underpin information, the board has the attention span of a 3 year old. They only want to see pretty charts and graphs upon which they will consider for 90 seconds before making their investment decisions worth millions.
This is where the traffic light system comes into play. Red, Amber, or Green (RAG). You want to represent your controls and security posture in the most accurate way possible in one visual chart.
Maybe you want more money so you’ll be tempted to show the department as being red. Big mistake, as that will be interpreted as you being incompetent, and will be asked why are they paying you so much money just to have the department in the red.
Overplay your hand and say that everything is green and not only will you not get any more budget, but if a breach does happen, you’ll be publicly flogged for lying that everything was green.
Therefore, your traffic light should always remain a steady amber. You still need money, and if something bad does happen on your watch… you did warn them.

Gluttony
Some will say gluttony is a sin. But not if you’re a CISO. Of course we’re talking about data here. Ingest all the logs, put something to capture data on every endpoint, every router, switch, and firewall. Ingest it into one on-prem SIEM from where you can send data to your cloud-based SIEM, and a smaller subset to your expensive SIEM that charges you per MB.
Acquire all the threat intelligence you can, 5 sources should be the minimum. Subscribe to analyst reports, and call in trusted advisors every 3 months for a planning session.
That way, whenever anyone asks you a question. Especially if they’re an auditor – you can point them to the logs and say, “it’s in there somewhere” wink at them and walk away. It’s always better to have more data, even if it’s a messy mountain in which you can’t find anything, than not enough data.
Just don’t tell your records management person about it. They’re difficult people to deal with.

Confidentiality
If captain America worked in cybersecurity, his shield would be confidentiality. Go to conferences and talk about all the amazing things you’re doing, big yourself up because your next employer could be sitting in the audience.
Use enough technical jargon to make it appear as if you know what you’re talking about, but avoid buzzwords.
Give enough details that it appears as if you’re working on something only the likes of Elon Musk could compete with. But when pushed for details, apologise and say that it is confidential. Of course, you can use other words such as things being proprietary, top secret, only available on a need to know basis.
Joke about how your lawyer is in the room and thinks you’ve already disclosed too much. This will divert peoples attention into trying to spot the lawyer. Which isn’t as much fun as spot the fed.

The 5 year strategy
Good things come to those who wait. Your cyber security strategy to turn your mountains of data into a digital Mona Lisa won’t happen overnight. Your traffic lights will turn green, but it will take time, money, and patience.
Of course the 5 year plan will likely get to 7 years before being scrapped as being a pipe dream. But that doesn’t matter, because in 2.3 years you’ll be a CISO elsewhere telling people how your new project is super awesome, but it’s on a need to know basis.

——
*I don’t know if it’s actually David or Richard Attenborough who does the nature programmes. Either way, you know who I mean.
§
We’ve had requests from our Facility staff to have access to our server rooms so they can check the room in the event of fire. I’m against the idea
How many of your IT team with access are assigned first aids as regulated? How many of your IT team with access are assigned fire aids as regulated? How many of the latter are receiving their training and updates for fire incidents in the server room, with or without facility team? How regularly is the fire emergency excercised for all staff, not just those designated? How often is the fire incident plan reviewed, inspected with which stakeholders as required by regulation?
Several scenarios of the above require access to IT server room. These access requirements are not unconditional. Planned events can be done with all stakeholders, including member of IT team. So preventing access regardless of constraints isn’t a good idea. For the remaining cases, please check your fire incident plan as it may require you to apply despite your different preferences. You are not authorized to ignore such safety instructions.
If you want changes in your safety instructions, you may volunteer for the management of the safety plan for fire incidents from the IT team. Even then, you’re not authorized to make changes to these safety instructions on your own. You will be one stakeholder of severals. You may make proposals for changes. If your change proposals respect all regulated constraints, you may find agreement by other stakeholders and approval of professional fire fighter services in charge for your building after doing a common inspection. I guess that only proposal finding such acceptance without facility service nor other services needing access is if the number of professional fire fighters in you IT team is high enough, also during holydays, vacation and sickness. Even in large corporations, the number of designated fire aids was below regulated requirements so that non-IT volunteers had to cover this part too. Only on one job, we had a member in IT team who also was a member of fire fighters although not of the professional team of the city, but of the volunteer team of the city district. What’s the share in your team?
§
Hi Spiceheads! Sharing a few reminders for all of us who shop online during the holiday season.

Online Shopping Reminders for the Holiday Season
Watch out for fakes – Shop trusted sites only. This is important for both apps and websites. Only download apps from official app stores such as the Apple App Store or the Google Play Store. For websites, always type the URL into the address bar so you know for certain that you are on the official page.
Avoid phishing scams – Examine every deal-themed email in your inbox with a suspicious eye. Never click on links in an email because they could be a phishing scam.
Don’t store payment info – While you’re hunting through site after site, making purchase after purchase, you’ll be peppered with requests to start new accounts and save your credit card information. Share, save, and store as little personal information as possible on the internet.
Put a layer between your credit card and scammers – Third-party payment services such as PayPal, Apple Pay, and Google Pay can give you an extra layer of protection. Also, remember to only shop from your home or cellular network, and never on public Wi-Fi.
Compare prices – Before you hit the digital checkout line, open a new tab and look up the same item in other stores to see if prices are similar.
For the full scoop head on over to the article.
Sorry
The service or information you requested is not available at this time. We apologize for this inconvenience and are working quickly to resolve this issue. Please try again later.
(Error: 404)
Как самостоятельно подписать сертификат ssl для hpe integrated lights-out (ilo 5) | how 2021
ПРОБЛЕМА:
Когда я получаю доступ к ilo через браузер, он возвращает мне ошибку с сертификатом SSL.
Что я пробовал:
Я создал CSR (ilo.csr) из веб-интерфейса iLO -> Безопасность -> Сертификат SSL
После того, как я попытался самостоятельно подписать его через OpenSSL таким образом:
openssl genrsa -aes256 -out rootCA.key 4096 openssl req -x509 -new -nodes -key rootCA.key -days 1024 -out rootCA.pem openssl x509 -req -in ilo.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out ilo.crt -days 500 В КОНЦЕ:
-Я импортировал ilo.crt в Безопасность -> Сертификат SSL -> Сертификат Costumize -> Импорт сертификата
-Я установил ilo.crt, щелкнув по нему и вставив в доверенные корневые центры сертификации
Я не получил никаких результатов
ИНСТРУКЦИИ со страницы сертификата SSL
Функции безопасности iLO можно улучшить, импортировав доверенный сертификат. iLO может создать запрос на подпись сертификата (CSR) в формате PKCS # 10 для отправки в центр сертификации (CA). CSR закодирован в формате base64. Центр сертификации обрабатывает запрос и возвращает ответ (сертификат X.509) для импорта в iLO.
Импорт сертификата выполняется в четыре этапа:
Generate a CSR. Send the CSR to a CA and receive a certificate. Import the certificate into iLO. Restart iLO. 5
- Какую ошибку вы получаете, когда пытаетесь перейти на iLO (перед тем, как приступить к работе с OpenSSL)? Возможно, вам просто потребуется загрузить сертификат из iLO и вставить его в хранилище сертификатов компьютера (или пользователя). Вам нужно пройти через OpenSSL, только если вам нужен сертификат, потому что его еще нет.
- Похоже, вы установили недействительный сертификат, из-за которого iLO не работает должным образом. Возможно, вам придется выполнить сброс до заводских настроек (возможно, перепрошить прошивку?), Если вы вообще не можете войти, но если у вас есть доступ, я бы предложил создать НОВЫЙ самозаверяющий сертификат (не CSR от iLO ) и загрузка сертификата .p12 / pkcs12 / pfx с закрытым ключом (если возможно). Если ваш единственный вариант – CSR, вы можете попробовать еще раз. Как только вы сможете получить доступ должным образом, вам просто нужно будет загрузить сертификат и заставить Windows доверять ему. Существует множество способов доверять сертификатам.
- Перед тем, как попробовать это, я получил ошибку .NET (ошибка HTTP: удаленный сервер вернул ошибку: (400) неверный запрос), и я смог подключиться через приложение iOS. теперь я больше не могу подключиться (даже с приложением). Теперь удаленная консоль .NET вернула мне «Выполняемое соединение принудительно прервано удаленным хостом». Я не думаю, что достаточно импортировать csr в браузер. Пожалуйста, перечитайте сообщение, я вставил инструкции, содержащиеся под страницей SSL-сертификата
- Вы можете мне объяснить, как я могу использовать другой сертификат?
- У меня нет доступа к iLO 5, чтобы узнать, можете ли вы это сделать и как это сделать. Вам нужно будет обратиться к руководству по программному обеспечению iLO или найти что-нибудь о том, как им управлять. Надеюсь, кто-то, обладающий более глубокими знаниями о HP iLO, сможет рассказать
Если вы подписываете самостоятельно, вам необходимо добавить фиктивный ЦС в хранилище корневого ЦС. Если вы проверите свой путь к сертификату, вы увидите, что это ваша проблема.
Один из способов подтвердить эту концепцию – проверить отказавший сертификат в вашем браузере, а затем просто установить его в свой корневой центр сертификации.
Если вы не хотите использовать самоподписание, вам придется сделать настоящий сертификат, подписанный CA вашей компании. Не играл с созданием сертификата LetsEncrypt для iLO. Обычно для этого требуется что-то в конечной точке, хотя я знаю, что есть несколько способов сделать это с помощью DNSSEC или другого кунг-фу DNS.
Создание сертификата для ilo | 2021
Я хочу сгенерировать правильный сертификат для веб-консоли iLO (iLO – это механизм управления для серверов HP) с помощью letsencrypt. AFAIK нет возможности установить закрытый ключ в iLO, поэтому я создал CSR из iLO. Он содержит следующее поле:
Requested Extensions: X509v3 Subject Alternative Name: DNS:ilo.example.com, IP Address:192.168.1.11 Я не нашел способа исключить часть IP-адреса из CSR. Мне это не нужно, буду использовать только ilo.example.com. Сейчас я выдал
certbot certonly --manual --staging --preferred-challenges=dns --csr csr команда, проверка DNS завершена, но получена ошибка:
An unexpected error occurred: The request message was malformed :: Error creating new cert :: CSR contains one or more IP address fields Please see the logfiles in /var/log/letsencrypt for more details. AFAIK CSR подписан закрытым ключом, поэтому я не могу его редактировать. Могу ли я попросить letsencrypt игнорировать IP-адрес и выдавать сертификат только для ilo.example.com? Или есть другой способ?
1
Вот, пожалуйста: https://community.letsencrypt.org/t/how-to-automatic-certificate-install-on-an-hp-ilo4-management-processor/31038
- Создать CSR
- Отправить CSR в LE
- Установите полученный сертификат
Пожалуйста, используйте мой утилита, которая занимается созданием CSR и вызовом DNS (здесь только с GoDaddy).
Утилита требует Powershell и состоит из трех скриптов, один из которых – сам Certbot.
- Скрипт, который запросит у iLO создание CSR и загрузку
- Certbot запросит сертификат при CSR
- Утилита обновляет GoDaddy DNS, чтобы подтвердить запрос DNS
Обратите внимание, что с HPE iLO возможно только выполнение запроса DNS.
Сценарий, который я сделал, использует API HPE iLO для запроса создания CSR без IP-адреса. Он работал на двух моих серверах.
Раскрытие. Я сделал инструмент и выпустил его под лицензией MIT на GitHub.
