Intel AMT自從3.0版本就開始支援零接觸配置(ZTC, Zero Touch Configuration,官方現在的命名是 Remote Configuration)方式,即通過AMT固件中内置的根證書清單,來比對配置伺服器端使用的證書,并通過OTP (One Time Password) 和指定的域名來進一步認證雙方的身份。配置伺服器端在收到AMT發送過來的Hello消息後,比對AMT内置的根證書清單的Hash值,然後使用由配置的 Hash值的根證書簽發的證書作為伺服器端證書與AMT進行TLS通信;這個時候,AMT會生成一個自簽名證書由于TLS的互動式認證。在使用Intel AMT SDK 5.0提供的ConfigurationServer例子來測試這個功能時,發現了如下錯誤:"SSL_ERROR_SSL error: 14094438:SSL routines:SSL3_READ_BYTES:tlsv1 alert internal error", 見下圖。
<a href="http://softwareblogs-zho.intel.com/wordpress/wp-content/uploads/2009/01/ztc_prov_error_01.png"></a>
看起來是配置伺服器端與AMT用戶端嘗試建立TLS連接配接時失敗。根據以前的經驗,仔細來回檢查了證書好幾遍,根證書對着呢,需要Full Chain的本地使用證書也應該沒問題啊,奇怪了。
百思不得其解的時候,通過與他人讨論,覺得可能還是證書的CN名稱的問題,AMT比對證書CN名稱時候沒有通過。通過幾次實驗後,終于找到原因了,原來在 ZTC(也就是PKI Provisioning)模式下,AMT會主動去比對配置伺服器端使用的證書的CN名稱的域名是否與目前DHCP伺服器配置設定的域名一緻,我們隻需要在生 成證書的時候,将證書CN使用的名稱的字尾設定成與目前網絡環境域名一緻即可。
關于域名比對這點,Intel AMT在ZTC模式中還可以做到強制檢查FQDN Subfix,即可以通過MEBX中設定需要強制比對的域名字尾。看來如果沒有設定,Intel AMT是和預設DHCP的預設域名做比對。
本文轉自Intel_ISN 51CTO部落格,原文連結:http://blog.51cto.com/intelisn/130456,如需轉載請自行聯系原作者
![Windows指令行使用Git下的Curl指令[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)