Intel AMT KVM - добавляем TLS с помощью ACUWizard

Специально для темы Как же быть без TLS ?

Имеем ситуацию: компьютер с поддержкой АМТ версии 6.1 и выше, мы уже зашли в MEBx и нажали кнопку Activate Network Access, в результате чего технология AMT проинициализирована, при чём в Admin-mode. В результате у нас есть возможность добавления сертификата для использования шифрованной передачи (в Client-mode нет сертификатов). Также у нас уже есть готовый сертификат, при чём ключи в формате RSA без пароля.

Добавление сертификата в Intel AMT с помощью ACUWizard

Скачиваем ACUWizard.exe, идущий в составе Intel SCS - http://software.intel.com/en-us/articles/download-the-latest-version-of-intel-amt-setup-and-configuration-service-scs.

Далее на примере имеющейся у меня версии 7.1, но с более новыми будет аналогично (а можно и ею - не принципиально).

Запускаем ACUWizard.exe от админа:

ACUWizard.exe

... и выбираем Configure/Unconfigure this System. Далее выбираем Configure via Windows:

ACUWizard - Configure via Windows

Далее указываем текущий AMT-админский пароль (который задавали в MEBx) и задаём новый (можно указать тот же).

ACUWizard - Admin Password

Далее жмём Edit Configuration:

ACUWizard - Getting Started

И ставим галку напротив TLS, чтобы появился доступ к этому пункту меню:

ACUWizard: Optional Settings - add TLS

Другие пункты в данном случае включать-рассматривать не будем. В результате сразу попадаем на вкладку настроек TLS:

ACUWizard: Optional Settings - TLS

Находим наши сертификат и ключи или вручную прописываем пути к файлам. Переходим на последнюю вкладку системных настроек:

ACUWizard: System Settings

Тут обычно ничего менять не нужно, просто задаём пароль для подсоединения к AMT KVM (8 символов, по строгим правилам - как в MEBx).

В результате, нажав Next, переходим на следующий этап, где будет предложено зашифровать полученный XML-профайл:

ACUWizard: XML Encription

Обычно смысла нету (и чтобы была возможность после отредактировать такой файл), потому галки не ставим.

О, вспомнил - в 8-й версии такой возможности уже нет, потому она пошла лесом в моём случае.

Жмём Configure:

ACUWizard: Configuring

И если вы не ошиблись в путях к сертификатам, они были в нужных форматах, AMT было проинициализировано, все драйверы стояли, у вас, вообще, Windows и нет одновременного затмения Солнца, Луны и Марса, то получаем:

ACUWizard: Finish

Но это ещё не всё. В результате мы получим сконфигурированный AMT + KVM + TLS-сертификат. Но по умолчанию при локальном конфигурировании эта зараза включает User Consent - всплывающее на управляемом компьютере окошко, где в момент подключения к нему через KVM будут показаны цифры, которые потребуется передать админу, чтобы тот так "дополнительно авторизовался". Админ, который просит разрешения у юзера - нонсенс, будем исправлять.

Кстати, менюшка управления User Consent есть и в ACUWizard, однако она доступна лишь для варианта удалённого конфигурирования, в тодоступна лишь для удалённого конфигурирования. В то время, как у нас Admin-mode и мы имеем все права на отключение оной (привет товарищам-разработчикам из Intel).

Вот тут нам и поможет то, что мы не шифровали XML-файл. В результате сего действа в папке (где запускался ACUWizard.exe) появится файл Profile.xml, которым был только что проконфигурирован наш AMT-компьютер. Открываем его, ищем секцию KVMOptions:

  <KVMOptions>
    <EnableKVM>True</EnableKVM>
    <RFBPassword>vPro.by1</RFBPassword>
    <EnableUserConsent>True</EnableUserConsent>
    <UserConsentTimeout>300</UserConsentTimeout>
  </KVMOptions>

Меняем EnableUserConsent на False, а UserConsentTimeout просто злостно удаляем, т.е. секция получится (с поправкой на ваш пароль вместо vPro.by1):

  <KVMOptions>
    <EnableKVM>True</EnableKVM>
    <RFBPassword>
vPro.by1</RFBPassword>
    <EnableUserConsent>False</EnableUserConsent>
  </KVMOptions>

Сохраняем и всё повторяем. При следующем запуске ACUWizard подхватит старые данные (и пароли), так что просто жмём Next, Configure, радуемся.

Итого, имеем сконфигурированный на работу Intel AMT KVM, которая теперь будет доступна через 16995-й редиректный порт, т.е. с использованием TLS-шифрования. При этом управляемая система не будет приставать с User Consent (наличие которого в Client-mode нельзя отменить, чем такой режим страшно не удобен).

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступные HTML теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.
Anti-bot —  введите результат получившейся суммы.