iKVM über SSH tunneln

Um auf die iKVM-Schnittstelle zugreifen zu können und das Java Applet zu starten müssen folgende Ports weitergeleitet werden mit SSH:
 
Port 80
Port 443
Port 623
Port 5900
SSH Tunnel Einträge:
putty-ssh-tunnels
Source Port: 80   Destination <IP-iKVM>:80
443   <IP-iKVM>:443
623   <IP-iKVM>:623
5900   <IP-iKVM>:5900
Option Local und Auto aktiviert
 
Damit können wir jetzt über das Localhost Interface den iKVM Service ansprechen.
https://127.0.0.1
 
Quellen:
http://www.thomas-krenn.com/de/wiki/Netzwerk_Ports_Supermicro_Remote_Management_(IPMI,_KVM_over_IP)_f%C3%BCr_Firewall_Konfiguration

Public Key Infrastructure (PKI) zur Generierung von Zertifikaten mit easy-rsa 2.0

Notwendige Software

apt-get install openvpn

Verzeichnis für die easys-rsa 2.0 Umgebung (/usr/share/doc/openvpn/examples/easy-rsa/2.0)

cp -r /usr/share/doc/openvpn/examples/easy-rsa /etc rm -rf  /etc/easy-rsa/1.0

Anpassen der Umgebungsvariablen bzw. Festlegung der allgemein gültigen Variablen: Setzen sie folgende Variablen: Anpassen des Pfades für die Zertifikate und Keys: KEY_DIR=“$EASY_RSA/<Domain VPN-Server>/keys“ DH wird auf 2048 festgelegt KEY_SIZE=2048 CA läuft nach 10 Jahren ab CA_EXPIRE=3650 Keys laufen nach 1 Jahr ab KEY_EXPIRE=365

  • KEY_COUNTRY
  • KEY_PROVINCE
  • KEY_CITY
  • KEY_ORG
  • KEY_EMAIL

Achten Sie darauf, daß keine der Variablen leer ist.

mv /etc/easy-rsa/2.0/vars /etc/easy-rsa/2.0/<Domain-Server>-vars ln -s /etc/easy-rsa/2.0/<Domain-Server>-vars /etc/easy-rsa/2.0/vars

Laden der Umgebungsvariablen

cd /etc/easy-rsa/2.0 . ./vars

Löschen der Beispiels Keys und Zertifikate

./clean-all

Anschließend sollten die Dateien index.txt und serial initialisiert sein.
Generierung der PKI Umgebung mit CA (certificate authority) und Key per openssl

./build-ca

Ausgabe:

root:easy-rsa # ./build-ca
Generating a 2048 bit RSA private key
............++++++
...........++++++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [KG]:
State or Province Name (full name) [NA]:
Locality Name (eg, city) [BISHKEK]:
Organization Name (eg, company) [OpenVPN-TEST]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:OpenVPN-CA
Email Address [me@myhost.mydomain]:

Generierung des Server Zertifikates und Server Keys

./build-key-server server

Generierung eines Client Zertifikates und Client Keys

./build-key client1 ./build-key client2 ./build-key client3

Generierung des Diffie Hellman Parameters: ./build-dh Ausgabe:

root:easy-rsa # ./build-dh
Generating DH parameters, 2048 bit long safe prime, generator 2
This is going to take a long time
.................+...........................................
...................+.............+.................+.........
......................................

Generierung des Keys für tls-auth (Unterbinden von DOS-Attacken)

openvpn --genkey --secret ta.key

Folgende Dateien mit neu generierten Keys und Zertifikaten sind im Verzeichnis /etc/easy-rsa/2.0/<Domain VPN-Server>/keys zu finden:

Dateiname verwendet von Zweck Secret
ca.crt server + all clients Root CA certificate NO
ca.key key signing machine only Root CA key YES
dh{n}.pem server only Diffie Hellman parameters NO
server.crt server only Server Certificate NO
server.key server only Server Key YES
client1.crt client1 only Client1 Certificate NO
client1.key client1 only Client1 Key YES
client2.crt client2 only Client2 Certificate NO
client2.key client2 only Client2 Key YES
client3.crt client3 only Client3 Certificate NO
client3.key client3 only Client3 Key YES

Quellen: http://openvpn.net/index.php/open-source/documentation/howto.html#pki