distractii cu apc

Bila alba

Prin moiembrie-decembrie 2011 am luat niste UPS-uri de la APC pentru un rack de echipamente. Instalat frumos cu extensii de baterii, dat in productie, rulat teste de calibrare si surpriza: un UPS raporta 2h45min runtime, altul 1h42min runtime. cum ambele UPS-uri sunt in configuratii identice iar diferenta de incarcare pe ele este de ~1-2% (un mediaconvertor pus pe unul din UPS-uri).

Deschis caz la APC, trimis loguri si screenshot-uri, tanti de la suport draguta mi-a facut RMA la tot setul de baterii (6 la numar). din cauza de greutate au fost trimise cu camionul din Irlanda in Romania si a durat cred ca vreo aproape mai mult de o saptamana sa ajunga la destinatie.

Montat bateriile noi, lasat UPS-ul la incarcat, scos alimentarea cu curent si lasat la descarcat si numarat cat dureaza pana se descarca complet la ~40% load cat are in sarcina: 2h42min.

Partea misto e ca UPS-urile astea au un butonas de bypass si poti schimba bateriile “on the fly” fara sa opresti echipamentele conectate la UPS. Singurul dezavantaj e ca daca se ia curentul in timpul operatiunii o sa se opreasca si echipamentele conectate la UPS.

Overall mi-a placut ca au reactionat repede, fara sa incerce tot felul de combinatii sa nu inlocuiasca ceva defect si asa mai departe; iar tipa de la suport chiar a fost de ajutor.

Partea trista la povestea asta a fost ca pack-ul de 4 baterii vine pe palet si are 100+ kg :(

Bila neagra

Echipamentele APC de le am (prize si UPS-uri) au carduri de management pe retea care suporta si HTTPS. Cum in corporatie am si un CA intern de da certificate la cam tot ce misca, am zis sa continui traditia si sa pun certificate digitale si pe Network Management Cards (NMC) de la APC. Asa ca facut ce stiam io ca e nevoie de produs un certificat digital: creat un private key, creat un CSR, semnat CSR-ul de CA, luat certificatul si private key-ul si puse intr-un fisier si uploadat pe NMC.

WRONG!

Aia de fac NMC-urile la APC au fumat ceva diferit de restul care au suport de certificate digitale pentru servere web embedded si pentru a pune certificate digitale pe cardurile lor trebuie folosit un utilitar (APC Security Wizard) care sa genereze private key (in format PKCS#15) si CSR, dupa care se ia certificatul generat de CA, se importa in APC Security Wizard, se combina cu cheia privata din care rezulta un alt fisier tot in format PKCS#15 care e de fapt certificatul pe care stie NMC-ul sa-l importe si sa-l foloseasca.

Rahatul asta de Security Wizard are niste dezavantaje:

– private key e pe 1024bit
– nu suporta subjectAlternativeName

Pe mine ma doare cel mai tare subjectAlternativeName, ca HTTPS-ul e sensibil sa fie potrivire exacta intre ce scrii tu ca adresa in brwoser si ce sceie in CN-ul certificatului pe care-l prezinta serverul web, si daca io am certificat pentru pdu0.domeniu.local si in browser scriu https://pdu0 – o sa-mi dea eroare ca certificatul nu e valid.

subjectAlternativeName are o functionalitate foarte misto, si anume poti sa-i defineste atribute de tip DNS sau IP si sa le pui in certificat astfel incat daca accesezi serverul web cu https://pdu0 / https://pdu0.domeniu.local / https://ad.re.sa.ip / https://[ad.re.sa.ip.v6] sa considere ca e valid certificatul si sa nu mai dea eroare.

Dar nu, cineva de la APC a decis ca de ce sa nu fie lucrurile usoare pentru clienti cand poa sa fie complicate pentru ca asa vor ei.

Update: se pare ca exista o versiune mai noua a utilitarului care stie si chei pe 2048bit.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.