文章总结: 本文针对服务器iLO证书过期或不安全导致的浏览器拦截问题,提供了两种解决方案。一是通过修改hosts文件并使用主机名访问,再将iLO证书导入系统受信任根证书颁发机构以解决信任问题。二是生成自定义证书,包含iLOIP地址,使用本地CA签发并导入,同时将CA证书导入受信任根证书颁发机构,实现长期一劳永逸的解决。 综合评分: 88 文章分类: 安全建设,网络安全,应用安全,安全工具,实战经验
网管必看:服务器iLO证书过期/不安全终极解决指南
原创
衡水铁头哥 衡水铁头哥
铁军哥
2026年7月3日 07:45 北京
在小说阅读器读本章
去阅读
俗话说:福无双至,祸不单行。今天大清早刚打开电脑,我的个人黄页就被谷歌浏览器给无情背刺了(童鞋!不搞个个人黄页爽一把?)。排查了一圈,原因倒也简单,网站的SSL证书过期了,偏偏谷歌浏览器又开启了 HSTS 认证,导致这过期的证书变成了绕不过去的拦路虎。
好不容易折腾半天把黄页搞定,转身准备打开服务器iLO给服务器开机,结果啪的一下,又被谷歌浏览器给无情拦截了!
虽然这种拦截页面问题不大,通常点开【隐藏详情】,闭着眼睛点【继续前往】也能凑合用。
但是,叔可忍婶不可忍!一天之内连着搞我两次,这拦路虎我今天高低得给它拿捏了。
我们看一下证书信息,分明启用了HTTPS,但还是提示我的连接不安全。
我们查看证书详情,可以看到证书是由惠普官方颁发的,有效期到2030年,按理说没问题才对。
其实,这是一个非常典型的服务器带外管理证书问题,主要原因一般有两个:
1、公用名(CN)与访问网址不符。我们看截图显示证书颁发给的公用名是主机名ILO6CU523V3D3,但我们一般是在本地内网是通过IP地址直接访问iLO的。此时,浏览器在核对我们地址栏输入的IP和证书里声明的主机名时,发现对不上,就会报出服务器的证书与网址不相符的错误。
2、颁发机构不受信任。我们看到颁发者是iLO Default Issuer (Do not trust)。这是惠普iLO出厂自带的默认自签名根证书,一般操作系统的受信任根证书库里默认没有这个CA,所以浏览器会认为它是不受信任的。
针对第一个原因,要通过主机名ILO6CU523V3D3来访问,那我们就在系统的hosts文件中添加一条记录,允许直接通过主机名ILO6CU523V3D3来访问。
192.168.1.12 ILO6CU523V3D3
不过,单改Hosts只是过了第一关。我们用主机名访问,它照样拦截。为什么?因为黑户问题还没解决!这就好比你名字对上了,但拿的是张假身份证,门卫依然不放行。
这样的话,那就只能试试解决信任问题了。
首先,我们在浏览器里,将当前的iLO证书导出到本地,保存为.crt文件。
然后双击证书文件,点击【安装证书】。
存储位置这里,我们选择【本地计算机】。
证书的存储位置这里,我们要选择【将所有的证书都放入下列存储】,再点击【浏览】,选择【受信任的根证书颁发机构】。注意:必须选这个存储区,默认的个人存储区没用。
最后完成证书导入。
此时再刷新页面,久违的【连接是安全的】终于重见天日了!
不过,考虑到证书还有4年就到期了,与其到时候再折腾一回,我们不妨直接签发一个新证书,直接替换掉出厂默认证书,把证书时间改长,一劳永逸。
第一步,我们登录iLO管理界面,打开【存取管理】下的【安全性】页面,切换到【SSL证书】页签。
可以看到,默认的就是之前iLO自带的证书。现在,我们单击【自定义证书】。
在证书签名请求信息页面,我们记得勾选【包含iLO IP地址】,这样后续就能正常通过IP地址访问了。最后单击【生产CSR】。
系统比较保守,让我们等待10分钟再来查看CSR请求,实际上几秒钟就好了,再次单击【生产CSR】就能看到。
接下来,我们需要将下面的请求数据拿到本地证书服务器签发一下即可。对应的,我们之前介绍过三种方法:在Windows服务器上(告别2008 R2!在Windows Server 2019上玩转CA证书,可视化操作真香警告),直接贴上这段数据即可;对于Easy-RSA(easyrsa命令使用指南),需要把这段数据保存为文件,再进行签发;OpenSSL也是一样(如何使用OpenSSL创建RSA证书文件?),需要把这段数据保存为文件,再进行签发。
签发证书的时候,我们可以选择将证书的有效期调整为30年,这样没准能用到退休,前提是退休不再延迟的前提下。
然后,我们需要将新生成证书的【—–BEGIN CERTIFICATE—–】到【—–END CERTIFICATE—–】字段再粘贴到iLO中,单击【导入证书】,粘贴,再单击【导入】即可。
此时系统会提示,应用新的证书需要重启iLO,单击【确定】。
iLO重启需要三分钟左右的时间,这期间我们也别闲着,我们需要把签发证书用的CA证书导入到本地系统中,重复之前的流程即可。
再次提醒,导入时记得选择【受信任的根证书颁发机构】。
等到iLO重启完成,我们就可以正常访问iLO管理页面了,再也不会触发拦截了。
不过,需要注意的是,像Chrome这样的现代浏览器,在遇到受信任的证书时,默认可能会尝试去校验证书的吊销状态,由于我们使用的是本地自建的Root CA,并没有提供外网的吊销验证服务器,浏览器可能会在后台尝试联网验证,等待几秒钟超时后才会继续加载页面。不过,这点微小的等待,相比于之前每次都要手动点【继续前往】的折磨,体验已经是质的飞跃了!
***推荐阅读***
我们的WireGuard管理系统支持手机电脑了!全平台终端配置,支持扫码连接,一键搞定
保姆级教程:一条命令部署OpenVPN管理系统V4版,支持Win/Mac/安卓/iOS全平台接入
成本省下99.7%!用40元的腾讯云服务器自建IPsecVPN,成功对接企业级飞塔防火墙
终极进化:当swanctl遇上FRR,让你的Linux加密隧道化身SD-WAN雏形
流量指哪打哪!手把手教你用静态Segment List玩转SRv6流量工程
嫌SRv6报文太胖跑不动?带你在Ubuntu+FRR实战uSID微段压缩
22秒跑出密码!算力碾压再升级,揭秘WiFi6+WPA3的致命短板
嫌一键部署不过瘾?带你手搓Hermes智能体,主打一个通透
十倍性能提升!Ubuntu 26.04深度实测:当VPP遇上OpenVPN,带宽直接冲破 6.5Gbps!
性能暴涨670 %!当WireGuard遇上VPP,带宽直冲7.4 Gbps!
手机也能跑DeepSeek-R1/Qwen3了:零成本搭建AI推理平台
2048卡昇腾910C集群算力集群交付工程手册
2048卡H100算力中心100G无阻塞存储网建设方案
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:铁军哥 衡水铁头哥 衡水铁头哥《网管必看:服务器iLO证书过期/不安全终极解决指南》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论