В рамках одной экспериментальной задачи потребовалось оживить пару серверов HP ProLiant DL360 G5, много лет назад выведенных из работы и пролежавших все эти годы на складе. Оказалось, что у одного из серверов версия микрокода контроллера управления iLO2 довольно старая (2.07) и попытка работы с таким контроллером может стать в современных условиях небольшим квестом.
Ни один современный браузер не захотел работать со встроенным веб-сервером iLO2 старой версии, выдавая ошибку "SSL_ERROR_BAD_MAC_ALERT". Связано это с тем, что в старой версии iLO используются устаревшие механизмы SSL, не поддерживаемые в конфигурации по умолчанию в современных браузерах. Некоторые браузеры позволяют понижать уровень безопасности для определённых веб-узлов. Например, в Mozilla Firefox можно перейти в режим конфигурирования, открыв ссылку "about:config", в перечне расширенных настроек найти параметр "security.tls.insecure_fallback_hosts" и вписать в него FQDN/IP веб-сервера.
После этого через Ctrl+F5 обновляем ранее неработающую веб-страницу iLO и она должна заработать.
После того, как мы попадём в веб-интерфейс iLO2, резонным будет сразу поднять версию микрокода до последней - 2.33. Однако, здесь мы тоже можем столкнуться с проблемой. Загрузка микрокода новой версии через веб-интерфейс будет останавливаться в статусе "Receiving Flash Image 99%". Эта проблема известна давно и связана с нюансами взаимодействия HTTP-сервера в старых версиях микрокода iLO с новыми браузерами. То есть обновить микрокод до последней версии через современный браузер у нас не получится. В этой ситуации можно взаимодействовать с iLO через SSH, как мы рассматривали это ранее, а можно пойти другим путём – использовать веб-браузер старой версии. Самый простой способ запустить такой старый браузер на современной Windows системе – использовать портативную версию, не требующую установки, например, Mozilla Firefox Portable Edition Legacy 52. Используя эту версию нам удалось успешно обновить микрокод с 2.07 до 2.33. Последующее использование обновлённой версии iLO2 можно уже выполнять более или менее штатно в современных браузерах.
В ходе последующей базовой настройки в веб-интерфейсе iLO2 вместо старого само-подписанного SSL сертификата был установлен сертификат доверенного доменного ЦС. Но сразу после установки этого сертификата и перезагрузки iLO начались ощутимые просадки в производительности работы веб-интерфейса. Раннее мы уже упоминали о меленной работе iLO2 в старых версиях микрокода, но в нашем случае уже используется самая крайняя версия прошивки. Если снова копнуть в историческое наследие сообщества HPE, то возникает подозрение, что процессор iLO2 попросту "не вывозит" сертификаты с длиной ключа 2048-bit. И действительно, после того, как мы сгенерировали новый запрос сертификата с использованием ключа в 1024-bit и установили такой сертификат, веб-интерфейс iLO2 заработал вполне себе весело и задорно.
То есть, не смотря на то, что технически iLO2 позволяет устанавливать сертификаты с ключом 2048-bit, для комфортной работы с веб-интерфейсом всё же придётся использовать сертификат с ключом меньшей длины.
RSS - Записи
Добавить комментарий