如何使用自签名证书从HTTPS服务器引导iPXE？

Question

我正在链接iPXE (undionly.kpxe)并使用希望从HTTPS启动的嵌入式脚本。

问题是，HTTPS服务器正在使用以下创建的自签名证书通过stunnel连接到http服务器(自定义服务)：

openssl req -new -x509 -days 365 -nodes -config stunnel.cnf -out stunnel.pem -keyout stunnel.pem

当它试图与服务器联系时，我会得到“拒绝权限”错误。然而，URL在浏览器中工作正常。

我尝试过下载http://ca.ipxe.org/ca.crt并使用TRUST=ca.crt选项重新编译undionly.kpxe，但这没有奏效。

我对证书管理不太熟悉。如何使ipxe信任特效服务器？

Answer 1

您需要将证书添加到ipxe使用的CA中。

另一种解决方案是创建一个私有CA (用于签名主机证书的根证书)，然后配置ipxe以使用此CA。请参阅：http://ipxe.org/cfg/crosscert

最好的解决方案是通过公共CA对证书进行签名。